Y a-t-il un risque de cybersécurité à filmer des citoyens avec un drone de commerce ? La question se pose alors que ces appareils deviennent le nouvel allié des forces de l’ordre. Depuis 2 mois maintenant, chaque grande manifestation a désormais droit à sa surveillance aérienne. Les mobilisations en juin 2023 contre la réforme des retraites n’y ont pas échappé : dans toutes les grandes agglomérations, le préfet a autorisé le contrôle du cortège depuis les airs.
Les drones se multiplient dans la police depuis un décret publié le 20 avril, autorisant les forces de l’ordre à utiliser ces engins téléguidés dans le cadre de différentes missions de sécurité. Cette nouvelle manière de capter des données par la police française implique des appareils de fabrication chinoise pour filmer les opérations. Le ministère de l’Intérieur a acheté une grande partie de ses drones auprès de la marque DJI, leader du marché dans le drone de loisir et professionnel, après l’adoption du texte de loi par l’Assemblée nationale en décembre 2022 (en amont du décret d’avril).
Sur de nombreuses images repérées par Numerama, la police exhibe ses nouveaux outils de maintien de l’ordre. La plupart des appareils dévoilés sont des modèles Mavic 2 de la marque DJI.
Une lettre à Gérald Darmanin en janvier
Peut-on faire pleinement confiance à ces drones ? Pour certains élus, le risque est évident. Dès janvier, Cédric Perrin, sénateur (LR) du Territoire de Belfort et vice-président de la commission des Affaires étrangères, envoie une lettre au ministre de l’Intérieur Gérald Darmanin, pour l’interpeler sur les interrogations « en matière de cybersécurité, de maitrise du logiciel et de visibilité sur la protection des données à caractère personnel ou confidentiel, en particulier lorsque pèsent de forts soupçons sur la probité de l’entreprise qui fournit les drones », peut-on lire dans la lettre fournie par le sénateur.
L’élu du Territoire de Belfort indique : « Plusieurs chercheurs en cybersécurité ont montré que les produits de la marque Da-Jiang Innovations (DJI) disposent de fonctions cachées ayant pour objectif de collecter des données du téléphone portable ou de la tablette utilisé pour piloter le drone. Il semblerait qu’un certain nombre des données inhérentes au drone soient émises en direction de serveurs situés en Chine, comme par exemple sa position, sa vitesse, son numéro de série, la position du pilote… ». Il demande au ministère une « analyse des risques encourus et des éclaircissements sur les précautions prises par votre ministère ».
Lorsque l’on demande à Cédric Perrin s’il a de telles préoccupations pour des produits américains, il nous répond : « Les inquiétudes sont là également, mais la loi aux États-Unis n’oblige pas les grands groupes à intégrer des cellules du parti unique dans leur conseil d’administration. De fait, je demande à ce que l’on prenne des précautions face à ces produits et que l’on se tourne vers des marques locales ».
Le gouvernement chinois impose bien des membres du parti unique dans les grandes entreprises, notamment celles cotées en bourse. Ce mélange douteux entre privé et public a valu à DJI d’être banni de l’armée américaine et de nombreuses forces de polices dans différents États américains.
Les drones de la police ne sont pas modifiés pour garantir la sécurité des données
En France, l’armée de l’air nous a confirmé que les drones DJI sont modifiés de sorte que les appareils n’envoient aucune données. Qu’en est-il de la police ? Contactée par Numerama, la préfecture de Police de Paris nous a répondu :
« La préfecture utilise des drones de la marque DJI, leader sur ce marché au plan technique. Ces drones ne sont pas modifiés. Le risque d’espionnage est réduit, car les engins doivent être connectés à internet pour transmettre des informations et nous sommes en mesure de contrôler cette connexion. De plus, les images captées par le drone ont un intérêt très local dans le contexte du maintien de l’ordre et sont supprimés après 7 jours ou après 48h si des entrées d’immeubles ont été filmées ».
Cette déclaration laisse plusieurs zones d’ombres. D’abord, « le contrôle de la connexion » n’est pas expliqué et ne permet pas de comprendre comment les forces de l’ordre seraient capables de bloquer la transmission de données à partir du moment où l’appareil ne subit aucune modification.
Ensuite, les conditions de stockage des images ne sont pas précisées. Une suppression des images après sept jours n’empêche pas une captation en amont. Des expériences récentes menées par des experts en cybersécurité ont permis de capter les échanges entre l’opérateur et son appareil. L’expérimentation avait été réalisée sur des drones de la marque DJI. Nous avons également confronté la déclaration de la préfecture à Baptiste Robert, chercheur en cybersécurité et hacker éthique.
« Premièrement, un drone contient un modem, des composants qui remontent des données jusqu’aux serveurs de l’entreprise. Les dangers, a minima, sont un transfert d’informations classiques telles que la géolocalisation, des identifiants, des métadonnées » explique l’expert en cyber.
« Si l’on veut aller plus loin, on peut imaginer que des infos, des tracés peuvent être piratés. Les objets connectés peuvent être hacké, même des aspirateurs connectés pour connaitre le plan d’une maison. Enfin, le scénario catastrophe serait une captation des informations à des fins stratégiques à travers une porte dérobée. Cela reste hypothétique », nous décrit Baptiste Robert.
DJI rejette toutes les accusations autour de la sécurité de ses appareils. Le groupe avait déjà publié un billet de blog en 2021 dans lequel il détaille toutes les mesures techniques prises pour protéger les données des clients. « DJI conçoit et fabrique son matériel et ses logiciels pour que vous n’ayez jamais à partager vos données – ni avec nous, ni avec personne d’autre. Nous ne sommes pas une société de données, nous fabriquons simplement des drones » peut-on lire dans le rapport. De simples drones auquel il va falloir s’habituer maintenant. Le bourdonnement des hélices est bien parti pour nous accompagner dans les années qui suivent.
Mise à jour du 3 juillet : À la suite de notre article, DJI nous a envoyé ce commentaire :
DJI prend très au sérieux la confidentialité des données et la conformité à la cybersécurité. Nous respectons strictement toutes les lois, réglementations et normes applicables en matière de protection des données dans l’Union européenne, y compris le Règlement général sur la protection des données (RGPD). Nous ne porterions jamais atteinte aux intérêts de nos clients, en particulier en ce qui concerne la confidentialité des données des utilisateurs. Les allégations contraires sont sans fondement et fausses.
DJI n’est pas une société de données et nos utilisateurs ont le contrôle total de leurs données. Nous concevons et fabriquons nos produits afin que les clients puissent les utiliser sans aucune connexion Internet, ajoutant une couche de sécurité supplémentaire.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !