Les drones de loisir vendus par Parrot sont des objets connectés, pilotables grâce à un smartphone et une connexion WiFi, et cela les rend plutôt vulnérables. Selon des études réalisées par des chercheurs en sécurité, ces drones peuvent être aisément piratés, et ramenés au sol de force pour peu que l’on ait le matériel adéquat et une clé de neutralisation.

Bebop Parrot

Des drones ouverts à tous les vents

Les conférences de hackeurs se sont enchaînées au mois d’août à Las Vegas. Après la Black Hat Conference où de nombreux chercheurs ont démontré la vulnérabilité des voitures connectées, le DefCon du 6 au 9 août, d’autres chercheurs présentaient d’autres failles de sécurité. Et ces derniers jours, c’est Ryan Satterfield (Planet Zuda, le nom de sa chaîne YouTube) qui a réalisé la démonstration d’un piratage d’AR.Drone 2.0, la deuxième génération du premier modèle de drone réalisé par Parrot. Avec son smartphone au sol et le drone en position de stabilisation, il a réussi grâce à une simple clé à forcer le drone à atterrir depuis son ordinateur. Encore un produit français (les drones Parrot) qui se fait hacker. Victimes de leur succès sur le marché des objets connectés ?

L’application pour l’AR.Drone.2.0 permet de piloter le drone de marque française

La méthode est simple : les drones Parrot tournent tous sous Linux, le WiFi de l’AR.Drone 2.0 est ouvert, il n’y a pas de mot de passe ni de clé quelconque, et le port Telnet est également ouvert. C’est la fête pour le pirate, en gros. Selon Ryan Satterfield, le Youtubeur Planet Zuda, vous pouvez simplement vous connecter en utilisant le port 23 par défaut et taper « kill 1 ». Le drone se crashera instantanément.

Lien Youtube
Chaine Youtube FrAndroid

Ryan Satterfield faisant une démonstration déjà présentée au DefCon de sa méthode de neutralisation de l’AR.Drone.2.0

Pour les derniers modèles tels que le Parrot Bebop, il suffit de posséder l’application Freeflight 3 pour s’appairer avec le drone de quelqu’un d’autre si vous êtes dans la même zone. Aucune sécurité n’est mise en place (on a même déjà testé sur un stand Parrot, même leurs drones de démonstration ne sont pas sécurisés, n’importe qui peut s’appairer avec son smartphone, en WiFi ou Bluetooth). Cette nouvelle ne réjouira pas forcément les détenteurs de drones qui s’en servent comme engin de loisir et pourront être la cible de voleurs, mais probablement davantage les pompiers californiens. De nombreuses affaires de drones en survol au-dessus de feux ont en effet été recensées aux États-Unis, empêchant les manœuvres des pompiers récemment en Californie.

Des failles de sécurités bien connues de Parrot

Lors d’une autre démonstration au DefCon, le chercheur Michael Robinson, spécialiste de la sécurité et professeur dans deux universités américaines a démontré lors d’une conférence que les drones Parrot, grâce à leur connexion WiFi ouverte pourraient permettre à n’importe qui de s’appairer via smartphone. Il a été capable de déconnecter le drone et de prendre la suite du contrôle tandis que l’opérateur original tentait de se reconnecter. Rien de sorcier ici, mais de quoi alerter les usagers de drones réguliers. Il est également à noter que Robinson a découvert que le serveur FTP du Bebop était également ouvert, laissant à découvert les clichés et vidéos prises par l’engin. Contactée par le chercheur, l’entreprise Parrot a précisé qu’elle était consciente de ces failles de sécurité. Mais rien n’indique que des corrections soient prévues.

En comparaison, le chercheur M.Robinson a testé la sécurité des drones DJI Phantom III et il a obtenu des résultats différents : le Phantom utilise le contrôle radio et n’est donc pas vulnérable. Il est néanmoins possible de perturber son GPS et de causer des interférences avec sa boussole.