sécurité données dji
Accueil » Actualités » Drones » La sécurité des drones et des applications DJI

La sécurité des drones et des applications DJI

« Vos données ne nous regardent pas »

Les clients du monde entier font confiance à DJI pour protéger l'intégrité de leurs données. En tant que leader du secteur, DJI a la responsabilité d'informer ses clients sur les données dont ils disposent, sur la manière dont ils les utilisent et sur la façon dont ils les protègent. En tant qu'entreprise technologique, il est tout aussi important d'être absolument clair sur les données auxquelles DJI n’ont pas accès.

Transparence et éducation

DJI s'engage à rester ouvert et transparent sur tous les aspects de leur collecte et de leur utilisation des données. Ils souhaitent également faciliter la compréhension de la gestion et de la sécurité de leurs données par leurs utilisateurs, qu'ils soient consommateurs, utilisateurs professionnels ou opérateurs gouvernementaux.

Collaboration avec la communauté

Ils restent ouverts à la collaboration avec des experts, des passionnés et d'autres membres de la communauté des drones afin d'entendre leurs suggestions sur la manière de renforcer davantage leurs systèmes. La sécurité des données est un effort sans fin et DJI pense qu'une conversation plus large conduit toujours à des résultats plus solides.

Une sécurité des données robuste

Le leader mondial du drone cherche toujours à rendre nos données et notre vie privée plus sûres en renforçant les systèmes existants, en innovant et en adoptant de nouvelles méthodes et technologies.

Équilibre entre sécurité et vie privée

Dji conçoit leurs systèmes de manière à accéder et à utiliser le moins de données possible pour garantir la sécurité, grâce à des fonctions telles que le géofencing basé sur la localisation. Dji pense que l'industrie des drones devrait établir des principes standard concernant l'accès aux données, et ils montrent l'exemple par leurs actions.

DJI s’engage à protéger vos données

« Lorsque nous disons que vos données ne nous regardent pas, nous le pensons vraiment. »

Il est important pour tous les utilisateurs de DJI de savoir que ces derniers ne vendent pas les données des utilisateurs à des annonceurs. Ce n'est pas le modèle économique de DJI et cela ne le sera jamais.

« Cela ne nous regarde pas. Nous voulons simplement que vous profitiez de l'expérience du vol et que vous preniez des photos et des vidéos incroyables. Il est plus facile de fournir la meilleure expérience possible lorsque nous savons comment nos produits et nos applications fonctionnent. Nous devons également informer nos utilisateurs sur les zones de Geofencing autour des aéroports et autres lieux sensibles, afin de les aider à prendre des décisions intelligentes et à voler en toute sécurité. Pour atteindre ces objectifs, il faut avoir accès à certaines informations sur l'endroit et la manière dont vous volez. Nous n'accédons qu'au strict minimum nécessaire pour répondre à ces besoins, et nous mettons tout en œuvre pour garantir une protection totale de ces informations.»

Une histoire de protection de la vie privée

Lorsque DJI a commencé ses activités en 2006, il s'agissait principalement d'une ressource pour les amateurs d'avions télécommandés. Comme nous le savons maintenant, les choses ont progressé assez rapidement, et en quelques années seulement, la société est passée du développement de composants et de kits pour les amateurs à la fabrication de drones de loisirs prêts à voler, utilisés quotidiennement dans le monde entier. L'adoption rapide des drones ayant créé de nouveaux défis et de nouvelles attentes, DJI a travaillé sans relâche avec sa communauté croissante d'utilisateurs pour rester à la pointe du progrès et protéger la confidentialité de leurs informations.

DJI comprend également que la réalisation d'une sécurité des données robuste implique d'inviter des évaluations critiques de la part de parties extérieures.

« Nous avons créé notre programme Bug Bounty en 2017, offrant des récompenses allant jusqu'à 30 000 dollars aux chercheurs en sécurité qui découvrent et signalent de manière responsable des failles dans les systèmes DJI. »

L'unité de sécurité de l'information de DJI continue d'améliorer et de renforcer leurs processus de sécurité, y compris la formation obligatoire à la sécurité pour les développeurs, de nouveaux contrôles sur leur travail, et un programme interne de tests de pénétration pour déraciner de manière proactive d'autres problèmes potentiels. Plus de détails sur le programme "Bug Bounty" sont disponibles sur security.dji.com.

Cependant, DJI ne compte pas uniquement sur leur programme "Bug Bounty" pour détecter les failles de sécurité. Pour aller plus loin et fournir un point de vue extérieur sur leurs efforts de protection des données, ils ont engagé un tiers indépendant pour effectuer une enquête complète et sans restriction sur leurs systèmes de sécurité des données. La société Kivu Consulting, Inc. basée à San Francisco, a effectué un examen approfondi des drones DJI, des applications mobiles et des serveurs, ainsi que des flux de données qu'ils transmettent et reçoivent. Elle a conclu que les utilisateurs de drones DJI ont le contrôle sur la manière dont leurs données sont collectées, stockées et transmises.

KIVU drone

« Comment nous gérons les données »

Voici comment les options de partage de données de DJI sont définies par défaut :

Données de performance de l'application

Les données de performance de l'application sont envoyées à DJI pour signaler les bogues et les statistiques d'utilisation. Ces données sont essentielles pour aider DJI à comprendre comment leurs applis de pilotage fonctionnent dans le monde réel, par exemple en déterminant les erreurs courantes et les fonctionnalités populaires. DJI recueille ces données de manière globale et ne peut pas identifier les utilisateurs individuels ou les modèles d'utilisation à partir de ces données. Les utilisateurs peuvent désactiver la transmission de ces données dans le menu des paramètres de l'application de contrôle de vol grand public de DJI.

Données sur l'expérience de l'utilisateur

Des informations de base sont compilées sur chaque vol de drone, notamment sa durée, sa distance et le nombre moyen de photos prises par vol. Cela aide DJI à comprendre comment les clients utilisent leurs produits et comment ils peuvent améliorer leur expérience. DJI recueille ces données de manière globale et ne les associe pas à un utilisateur particulier ou à des données de localisation précises. Les utilisateurs peuvent désactiver la transmission de ces données dans le menu des paramètres de l'app de contrôle de vol grand public DJI.

Données de vérification de la localisation

Les données de localisation sont utilisées pour mettre à jour les informations de Geofencing à proximité, telles que l'espace aérien restreint et les restrictions de vol temporaires, ainsi que pour se conformer aux restrictions nationales en matière de fréquences radio. L'application de contrôle de vol grand public DJI utilise d'abord les données GPS, l'adresse IP et/ou l'identifiant de réseau mobile (MCC ID) pour déterminer l'endroit où le drone opère. Ensuite, pour protéger la confidentialité de l'emplacement précis de l'opérateur, l'application de contrôle de vol du consommateur DJI applique un décalage aléatoire pouvant aller jusqu'à 10 kilomètres avant de transmettre les données de vérification de l'emplacement à DJI. Le partage des données de vérification de l'emplacement ne peut pas être désactivé dans l'application de contrôle de vol de DJI. Les utilisateurs peuvent bloquer la transmission de ces données de contrôle de localisation aléatoires en désactivant la connexion Internet de leur appareil, mais cela les privera des avertissements de géocodage les plus récents et les plus précis.

Voici les données que les utilisateurs peuvent choisir de partager avec DJI :

Données photographiques/vidéographiques

Il s'agit des photos et des vidéos qui sont stockées sur la carte SD du drone ou sur l'application de contrôle de vol grand public DJI sur votre appareil mobile. Ces données ne sont jamais partagées avec DJI, sauf si vous activez manuellement la fonction de partage dans l'application.

Données du journal de vol

Il s'agit de données relatives au vol de votre drone, notamment des informations sur l'altitude, la vitesse, la distance, la localisation (par exemple, les coordonnées GPS). Ces données ne seront partagées avec DJI que si vous utilisez manuellement le bouton "Sync" sur l'interface de l'application de contrôle de vol grand public DJI.

Comment DJI stock leurs données

Les centres de données de DJI sont construits sur Amazon Web Services.

Les utilisateurs de DJI ne sont pas tenus de stocker leurs données sur les serveurs de DJI. S’ils choisissent d’y procéder, leurs données sont conservées dans des centres de données de DJI équipés d’un mécanisme de protection multicouche. DJI ne transmet pas les informations ou données personnelles des utilisateurs au sein des centres de données, ils ne partagent pas non plus les données avec des tiers. Les informations sensibles telles que les adresses e-mail, les numéros de téléphone portable et les informations de localisation bénéficient d’un cryptage AES-256-CBC supplémentaire.

amazon web service dji

Leur engagement

Avoir accès aux données des utilisateurs est une responsabilité importante. Leur engagement envers les clients est de continuer à renforcer la sécurité de leur technologie et de les tenir informés de leurs politiques et pratiques en matière de données.

« Vos données d'abord »

DJI est motivé par la poursuite incessante de rendre les technologies complexes accessibles à tous. Cet engagement n'est nulle part plus visible que dans la façon dont ils aident les utilisateurs commerciaux, civils et gouvernementaux du monde entier à trouver des moyens innovants d'utiliser leur technologie, apportant de la valeur à un large éventail d'industries.

Étant donné le rôle unique que jouent les drones en tant que dispositif de capture de données, DJI comprend l'importance de la sécurité des données pour les clients commerciaux, civils et gouvernementaux. C'est pourquoi ils donnent à leurs utilisateurs le contrôle des données qu'ils génèrent. Ils renforçent cet engagement en fournissant des informations approfondies sur la façon dont les plateformes de drones DJI protègent les données de ses clients, et en décrivant les stratégies et les processus qu’ils utilisent pour améliorer continuellement la sécurité des informations.

DJI fournit plusieurs outils aux gouvernements et aux entreprises clientes pour obtenir cette assurance :

Mode Données Locales

DJI a modifié son application de contrôle de vol DJI Pilot pour y inclure le mode Données locales, qui arrête toute connexion aux données Internet. Cela élimine toute possibilité pour l'opérateur du drone de partager par inadvertance des informations de vol à partir de l'appli, notamment la localisation des vols, des photos ou des vidéos.

dji restricted network mode

Livre blanc sur la sécurité

Ce livre blanc sur la sécurité fait partie de l'engagement de DJI en matière de transparence et d'éducation. Il présente les systèmes clés d'un drone et identifie les mesures de sécurité mises en place par DJI pour renforcer la sécurité et protéger l'intégrité des données des utilisateurs. Il a été mis à jour depuis le document original d'avril 2020 pour refléter les améliorations de sécurité supplémentaires et les nouveaux développements de produits. Par exemple, il inclut les nouveaux produits tels que les drones M300 RTK et Mavic 3, ainsi que les fonctions de sécurité supplémentaires proposées avec les nouveaux systèmes, telles que la transmission sécurisée à l'aide de la 4G LTE, la suppression en un clic des journaux de vol et le cryptage des données du support de la carte SD.

DJI obtient la reconnaissance du cryptage par le ministère du commerce américain

DJI Core Crypto Engine passe le programme de validation des modules cryptographiques (CMVP) pour recevoir la norme Federal Information Processing Standard (FIPS) 140-2

DJI renforce aujourd'hui son engagement envers les données et la confidentialité des clients avec la validation du DJI Core Crypto Engine.  Le moteur est un module cryptographique hybride de micrologiciel qui fournit des services de sécurité fondamentaux pour l'ensemble de la plateforme, y compris la cryptographie, la gestion des clés, l'identité de la plateforme, le démarrage sécurisé et le Life Cycle State (LCS) sécurisé.

Formellement validée par les gouvernements américain et canadien, la conformité à la norme FIPS 140-2 a été largement adoptée dans le monde entier, dans les secteurs gouvernementaux et non gouvernementaux, en tant que référence de sécurité pratique et meilleure pratique réaliste.  La norme garantit que le matériel validé répond à des exigences de sécurité spécifiques.

"Quand il s'agit de données, DJI a des principes très forts autour de l'utilisation transparente, de la sécurité et de la confidentialité.  Nous croyons vraiment que 'les données des clients ne nous regardent pas' et nous comprenons l'importance de la sécurité des données pour les personnes, les entreprises et les organismes gouvernementaux qui comptent sur nos plateformes ", a déclaré Christina Zhang, directrice principale de la stratégie d'entreprise chez DJI. "Cette validation du cryptage témoigne de la manière dont nous nous efforçons inlassablement de sécuriser les données et la vie privée de nos clients en renforçant les systèmes existants, en en innovant de nouveaux et en adoptant de nouvelles méthodes et technologies."

À partir de ce moment, tous les drones DJI contenant le DJI Core Crypto Engine garantissent que, qu'ils soient pilotés pour le loisir ou exploités pour les affaires, les clients bénéficient de normes de sécurité fiables, faisant autorité et reconnues mondialement. Ceci est particulièrement important pour les entreprises ou les gouvernements qui ont besoin de cette spécification et d'une tranquillité d'esprit supplémentaire.

https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4352

Stockage des médias sur périphérique sécurisé

Les drones DJI Mavic 2 Enterprise prennent en charge un mécanisme de protection par mot de passe pour le stockage des données embarquées, afin de garantir la sécurité des images et des ressources sensibles. Le combo Matrice M300 RTK et Zenmuse H20 prend également en charge le cryptage du stockage de cartes SD. Lorsque la fonction mot de passe est activée, les données stockées sur la carte SD ou le stockage embarqué ne sont accessibles qu’après obtention du mot de passe défini par l’utilisateur. Le mot de passe défini par l’utilisateur n’est pas partagé avec DJI, ce qui signifie que DJI ne peut pas récupérer ce mot de passe si jamais vous l’oubliez.

dji encrypted file

Données cryptées pour une sécurité renforcée

Les données transmises entre le drone et le contrôleur au sol sont protégées par l’algorithme de cryptage AES-256. La communication entre l’application DJI Pilot et le serveur est également protégée par HTTPS ou WebSockets via le protocole SSL/TLS (WSS) dans le but d’empêcher tout détournement par des tiers.

dji encryption https

Un nouvel audit indépendant de certains produits DJI a été testé avec succès par rapport aux normes nationales de cybersécurité et de protection de la vie privée.

L'organisme allemand TÜV SÜD estime que les drones et les applications DJI destinés au marché grand public satisfont aux principales exigences en matière de cybersécurité et de protection de la vie privée.

30 novembre 2022 – DJI a mis en place de solides protections pour les données des clients dans ses drones et ses apps destinés au marché grand public, selon un nouvel audit indépendant des fonctions de cybersécurité des produits DJI. De multiples entreprises privées et agences gouvernementales ont validé la sécurité des produits DJI destinés aux professionnels, et ce nouvel audit d'évaluation de la société allemande de test et de certification TÜV SÜD s'est concentré sur des implémentations similaires des fonctions de sécurité pour les personnes qui utilisent les produits DJI pour le plaisir et le divertissement.

TÜV SÜD a analysé les drones DJI Mavic 3, Mini 2 et Air 2S, ainsi que l'application DJI Fly pour iOS et Android, qui sont tous destinés au marché grand public. Elle fait suite à d'autres examens indépendants réalisés par Booz Allen Hamilton, FTI Consulting, la National Oceanic and Atmospheric Administration des États-Unis, la société de cybersécurité américaine Kivu Consulting, le ministère de l'Intérieur des États-Unis, le ministère de la Sécurité intérieure des États-Unis et d'autres, qui ont examiné les protocoles de cybersécurité des drones DJI utilisés dans des opérations gouvernementales et commerciales sensibles.

" DJI intègre de solides protections des données dans tous ses produits, et nos clients Enterprise savent que leurs drones et applications professionnelles sont construits dès le départ pour protéger leurs photos, vidéos et journaux de vol ", a déclaré Christina Zhang, directrice principale de la stratégie d'entreprise chez DJI. "Avec ce nouvel audit TÜV SÜD, DJI peut offrir la même assurance aux personnes du monde entier qui utilisent également nos produits grand public. Qu'il s'agisse d'un petit drone dans un jardin ou d'un grand drone dans une opération de sécurité publique de vie ou de mort, un large éventail d'experts indépendants a montré que les produits DJI donnent à leurs utilisateurs un contrôle total sur leurs données."

Dans le cadre du processus d'évaluation de TÜV SÜD, l'entreprise a acheté des drones DJI Mavic 3, Mini 2 et Air 2S de manière indépendante par le biais de canaux commerciaux ouverts et a téléchargé l'application DJI Fly pour iOS et Android. Pour les tests, ils ont adopté certaines dispositions des normes de cybersécurité de l'Institut national américain des normes et de la technologie (NIST) et de l'Institut européen des normes de télécommunications (ETSI), ainsi que de la sécurité des applications mobiles et de la norme d'exécution des tests de pénétration de l'Open Web Application Security Project (OWASP), reconnues par le secteur.

"Les drones DJI disposent de fonctions de sécurité complètes : les informations sensibles dans le processus de communication de l'App DJI Fly ainsi que le processus de synchronisation des données de vol dans le cloud des drones DJI, sont tous deux cryptés et transmis par SSL, ce qui peut éviter les risques de sécurité les plus courants", conclut le rapport.

"Les capacités de cybersécurité et les aspects de protection de la vie privée de DJI Drone répondent aux exigences des normes NIST IR 8259 et ETSI EN 303645 couvertes par ce test."

TÜV SÜD a également réalisé une évaluation indépendante distincte du drone DJI Matrice 300, de l'application de contrôle de vol DJI Pilot et de l'application pour ordinateur DJI Assistant 2, qui sont des produits DJI Enterprise conçus pour les utilisateurs professionnels. Cette évaluation a également confirmé que les produits disposent de fonctions de sécurité complètes pour protéger les informations sensibles, et que le drone assure la conformité avec les normes de cybersécurité sélectionnées du NIST et de l'ETSI à cet égard.

Rapport de TÜV SÜD lors du test :

Le drone DJI (Matrice 300 RTK) a des caractéristiques de sécurité complètes basées sur les normes de pratique, et les informations sensibles dans le processus de communication de l'App DJI PILOT, ainsi que le processus de synchronisation des données de vol dans le nuage du drone DJI, sont à la fois cryptées et transmises par SSL, ce qui peut éviter les risques de sécurité les plus courants.

En outre, les capacités de cybersécurité et les niveaux de protection de la vie privée du drone DJI répondent aux exigences des normes NIST IR 8259 et ETSI EN 303645 couvertes par ce test, conformément à la ligne de base des fonctions de cybersécurité des dispositifs de l'internet des objets couverts par la portée du test.

https://sec-cdn.dbeta.me/djisrc/public/img/TUV-ETR-Industry.f3b9c92.png

Données effaçables

Les utilisateurs peuvent choisir d’effacer toutes les données générées pendant leur utilisation des appareils DJI. Pour effacer vos données, accédez à l’application DJI Pilot pour effacer les rapports et mettre en cache sur votre appareil et dans l’application, ou restaurez les paramètres d’usine de l’appareil. Si vous décidez de ne plus utiliser les services DJI, veuillez envoyer un e-mail à support@dji.com pour demander à DJI de supprimer toutes les données associées à votre compte.

dji pilot device log rc log