Préoccupations de haute altitude : comprendre les menaces de sécurité que présentent les drones

Kevin Townsend 26 sept. 2019

Ils sont sensibles aux même cybermenaces que les objets connectés et peuvent être détournés à des fins non prévues.

Les véhicules aériens sans pilote (UAV, Unmanned Aerial Vehicle en anglais), aussi appelés « drones », sont de nouveaux jouets pour les amateurs, un outil pour le commerce et un appareil polyvalent pour l'armée.

D’un côté, ils ont un tout petit diamètre et sont capables de transporter des charges utiles comme un appareil photo ou un petit ordinateur Raspberry Pi. De l’autre, ils ont une envergure de 20 mètres et peuvent transporter des bombes à guidage laser de 250 kg et des missiles Hellfire.

Généralement, il s’agit en fait d’appareils connectés logés dans une machine volante plus petite qu’une tondeuse à gazon et dotés de capacités de communication sans fil. En tant qu'appareils connectés et sans fil, ils sont sensibles à toutes les cybermenaces qui pèsent sur l’Internet des Objets (IoT) et peuvent être détournés à des fins non souhaitées.

Les drones : pour les amateurs, les commerciaux et les militaires

À leur apparition, les drones de loisir n’étaient qu'un jouet pour les riches ou pour les férus de technologie. Mais le marché s'est développé et la technologie les a rendus plus maniables et y a intégré des caméras. Et leur prix a baissé. C’est un marché en plein essor. Selon la Federal Aviation Administration (FAA), d'ici 2023, il y aura entre 1,3 et 1,7 million de drones de loisir aux États-Unis.

Bien qu’il reste plus petit que le marché des drones de loisir, le marché des drones commerciaux est celui qui se développe le plus rapidement. De nombreuses entreprises les essaient, par exemple pour proposer de nouveaux services de livraison à domicile, comme Amazon et Domino’s Pizza. Cette utilisation a été repoussée par des réglementations car pour beaucoup, les drones représentent un danger et une nuisance sonore. Mais ces réglementations devraient être assouplies d’ici quelques années. Au début de l’année, le ministère des Transports des États-Unis aurait lancé un projet autorisant les drones à survoler la population de nuit sans autorisation spéciale. Cela favoriserait alors le développement des services de livraison par drone.

Il y a moins de drones militaires, mais c’est aussi un marché en expansion. Ceux-ci permettent à l’attaquant d'atteindre presque n’importe quelle cible dans n'importe quel endroit, sans pour autant s’exposer. Leur utilisation se développe. Selon Steve Durbin, directeur général de l'Information Security Forum (ISF), la technologie des drones est en cours de développement et pourrait servir davantage aux militaires, en les convertissant de simple armes à des outils d’espionnage sophistiqués. Diverses organisations tierces travaillent sur des drones capables d’exploiter ou de s’introduire dans des systèmes de communication, d’intercepter des données et de s'autodétruire en cas de capture. Les États-Unis, Israël, la Chine, la Russie et l'Iran font partie des pays qui fabriquent des drones militaires transportant des armes.

Les drones ont aussi des applications moins connues mais plus spécifiques qui ne sont ni de loisir, ni commerciales, ni militaires. Lorsqu’ils ont une caméra intégrée, ils peuvent être utilisés pour surveiller des infrastructures les zones difficile d’accès de monuments anciens, des feux de forêt ou du bétail. Ils peuvent aussi inclure des capteurs spécialisés pour des levés géologiques.

Toutes ces catégories de drones ne sont pas sans danger. Il n’y a que le drone militaire qu’on peut considérer comme relativement sûr. Tous les autres peuvent être détournés ou utilisés à mauvais escient, comme tout autre appareil connecté. Ils peuvent constituer une menace à la protection de notre vie privée, à notre cybersécurité et à notre sécurité physique.

Menaces pour les drones

Les drones présentent deux cybermenaces principales : le détournement et la chaîne logistique.

Détournement

Les drones non militaires peuvent être détournés relativement facilement. En 2017, l'expert en sécurité Jonathan Andersson a fabriqué un appareil (qu'il a appelé Icarus) lui permettant d’accorder la fréquence de communication du drone. Le canal de communication sautait toutes les 11 millisecondes, mais en attendant sur un canal, Icarus pouvait profiter de ces 11 millisecondes pour pirater le chiffrement du drone et le détourner.

Chaîne logistique

La chaîne logisitique constitue une menace car les drones sont fabriqués en grande partie à l'étranger (notamment en Chine) ou assemblés à partir de composants fabriqués à l'étranger. Au vu des tensions géopolitiques contemporaines, on craint toujours que de tels appareils ne contiennent une porte dérobée pour les gouvernements étrangers.

Autre inquiétude en rapport avec ce point : désormais, les drones de loisir incluent presque toujours une caméra. Les pirates peuvent voler des données enregistrées en détournant l'appareil. De nombreux drones téléchargent automatiquement les données enregistrées en temps réel pour les stocker dans le cloud.

Mais cela pose problème, même pour des images obtenues en toute innocence. En effet, si un pilote de drone enregistre accidentellement quelque chose de sensible, ces données sont immédiatement en ligne et exposées au vol si le service de stockage est mal sécurisé. Le stockage des données de drones préoccupe tant le gouvernement des États-Unis que, début 2019, le ministère de la Sécurité intérieure a tiré la sonnette d’alarme sur le fait que les drones fabriqués en Chine pouvaient constituer un « risque potentiel pour les informations d'une organisation » et qu’ils pouvaient renvoyer des données à leurs fabricants.

Menaces venant des drones

Les drones non militaires exposent notre confidentialité, notre cybersécurité et notre sécurité physique.

Confidentialité

La question de la confidentialité coule de source. Les drones peuvent transporter une caméra et enregistrer des images et des sons (donc des voix) depuis des endroits inaccessibles à une oreille indiscrète. Des variantes utilisées par les forces de l'ordre pourraient être reliées aux systèmes de reconnaissance faciale et surveiller discrètement des foules, des réunions en plein air ou des piétons. Les militants pourraient les utiliser pour cartographier les établissements qu’ils souhaitent cibler. Et les voyeurs pourraient connaître leur apogée.

Utilisés par la police, ils instaurent un nouveau niveau de contrôle civil. Utilisés par des civils, ils sont presque impossibles à contrôler. Les données civiles seront probablement stockées dans le cloud, à l’insu ou non des utilisateurs, avec ou sans sécurité adéquate.

Cybersécurité

Même les drones de loisir peuvent transporter de petits ordinateurs Raspberry Pi. Ceux-ci peuvent être programmés pour détecter des signaux Wi-Fi. Des chercheurs éthiques ont utilisé ces drones pour tester la sécurité d'infrastructures isolées (comme des centrales électriques), que l'on ne peut pas accéder directement depuis Internet.

Les testeurs d'intrusion, qui effectuent des simulations d'attaque contrôlée, les utilisent légitimement. Lors d'un test sur la cybersécurité d'une plateforme pétrolière située en haute mer et difficile d’accès, des chercheurs ont loué un petit bateau et l’ont « amarré » à une certaine distance de la plateforme. Ils ont ensuite programmé le Raspberry Pi pour qu’il détecte les signaux Wi-Fi en survolant la plateforme pétrolière et ont alors pu écouter ses communications.

Si les chercheurs y arrivent, vous pouvez être sûr que les pirates et les États-nations aussi. Ce type d’opération peut s’effectuer sur n'importe quel bâtiment, pas forcément isolé ou distant. Et plus les drones de loisir deviennent populaires, plus on trouve cela normal d’en apercevoir près de bureaux.

Sécurité physique

La menace que représentent les drones pour notre sécurité physique va des dommages accidentels aux attaques ciblées, en passant par des erreurs de calcul.

Un drone incontrôlable peut provoquer des accidents. Il peut s’agir d'un utilisateur légitime ou d'un pirate perdant le contrôle, d’un dysfonctionnement matériel ou logiciel au sein de l’appareil. Peu importe la cause, un drone qui tombe du ciel sur un être humain provoque des dégâts, et plus encore s’il est gros.

De tels dommages peuvent aussi provenir de simples erreurs de calcul. Au Royaume-Uni, le groupe de défense de l'environnement Extinction Rebellion milite contre la construction d'une troisième piste d'atterrissage à l'aéroport d'Heathrow. Une de leurs formes de protestation consiste à piloter des drones dans la zone d’exclusion de 3 km d’Heathrow afin de perturber les vols. Extinction Rebellion ne veut faire de mal à personne, mais il suffirait d’un mauvais calcul pour provoquer une catastophe.

Les attaques ciblées se développeront probablement au cours des prochaines années. Elles auront pour seul objectf de faire du mal à des êtres humains, que ce soit pour des raisons personnelles ou idéologiques. Pour le moment, les dommages causés par les drones de loisir sur des humains ont surtout été accidentels et bénins. Nous n'avons pas encore vu de drones de loisir ou de drones commerciaux détournés pour blesser une personne en particulier.

Mais ce qu’il s’est récemment passé en Arabie saoudite nous fait voir les choses sous un autre angle. Là-bas, une flotte de drones « militaires » a réussi à attaquer une plateforme pétrolière. Si les rebelles houthis du Yémen ont revendiqué cette attaque, beaucoup sont convaincus que celle-ci n'aurait pas été possible sans l'aide de l'Iran. Les drones eux-mêmes étaient presque certainement d'origine iranienne. On sait que l’Iran vend ses drones militaires à ses alliés et autres pays sympathisants et que la Chine vendra ses drones militaires à qui voudra les acheter.

Les drones militaires sont de plus en plus accessibles. Matt Rahman, chef de l’exploitation de l’entreprise de sécurité IOActive, suit de près l’évolution des drones. « L’idée d'utiliser des drones comme agents kamikazes avec des ogives attachées n'est pas nouvelle », a-t-il déclaré à notre blog, « mais nous ne pensions pas que l’Iran y recourrait si tôt. »

L’avenir

Les drones en sont encore à leurs débuts. Leurs capacités vont se développer au cours des prochaines années. La société et les forces de l'ordre doivent être conscientes des menaces qu’ils présentent. Les appareils développés à des fins nobles peuvent être détournés à mauvais escient.

Par exemple, la Chine a développé un drone à énergie solaire qui sera bientôt capable de voler en permanence. Si vous y intégrez une caméra et une technologie de reconnaissance faciale ultra-puissante et moderne, vous obtenez un drone qui peut voler indéfiniment jusqu'à reconnaître une cible pré-programmée. Avec une petite ogive, qui n’aurait pas besoin d’un drone de qualité militaire, une cible peut être localisée et automatiquement éliminée. Cela peut sembler relever de la science fiction, mais c'est déjà réalisable.

Le seul gros problème est que les drones ne sont pas suffisamment réglementés. Aucun organisme n'a encore revendiqué le pouvoir de les réglementer pour les empêcher de constituer une menace sérieuse sur la société.


Les articles « Points de vue » du blog Avast représentent les opinions des auteurs et ne reflètent pas nécessairement les points de vue de la société.

--> -->