Un chercheur déterre les clefs de sécurité de DJI sur un répertoire Github oublié

DJI a malheureusement laisser traîner ses clefs de sécurité et ce genre d’erreur pourrait coûter cher au constructeur chinois de drones personnels. Un chercheur a en effet découvert des clefs privées détenues par DJI laissées librement accessible sur un projet Github de la société. Plusieurs clefs avaient été laissées en libre accès, dont la clef de chiffrement privée utilisée pour les certificats de sécurité du nom de domaine dji.com, le nom de domaine principal du constructeur. Outre cette clef, le Github contenait également des identifiants d’accès aux services cloud AWS de DJI, ainsi que des clefs de chiffrement AES utilisées pour signer les firmwares du constructeur.

 

Selon le chercheur à l’origine de la découverte, Kevin Finisterre, les clefs sont restées accessibles au public pendant au moins deux années. Un attaquant en possession de ces informations pouvait faire beaucoup de dégâts du coté de chez DJI : le certificat de sécurité pouvait ainsi permettre de créer de faux sites DJI disposant de la validation HTTPS. Les identifiants AWS pouvaient ouvrir la voie à du vol de données, tandis que les clefs liées aux firmwares pouvaient être utilisées pour distribuer des mises à jour malveillantes sur le firmware des produits DJI.

Le chercheur a publié un rapport détaillant ses découvertes concernant DJI au public. Il explique également avoir tenté de travailler avec DJI afin de profiter de son bug bounty et de respecter le responsible disclosure. Mais suite à un désaccord avec les équipes de DJI sur les modalités du programme, le chercheur explique avoir renoncé à la prime de 30 000 dollars promise par DJI afin de révéler au public les failles découvertes.

DJI a entrepris de corriger le problème et annonce avoir révoqué son certificat exposé sur Github : le constructeur utilise donc un nouveau certificat pour l’ensemble de ses sites et services depuis le début du mois de septembre. Malheureusement les révocations de certificats ne se font pas toujours automatiquement et certains navigateurs continuent parfois d’accepter des certificats révoqués pendant une période de temps plus ou moins longue.

DJI avait déjà été critiqué par le passé sur ses failles de sécurité : l’armée américaine avait ainsi publié un memo interne qui déconseillait à ses hommes d’avoir recours aux produits DJI, citant des « failles de sécurité » non détaillées dans la circulaire. Les services de l’armée américaines étaient peut être tombés sur le répertoire github mentionné par Kevin Finisterre. DJI a en tout cas tout intérêt à faire amende honorable et à revoir ses méthodes en interne si le constructeur veut redorer son blason.

ZDNet