Les données des drones DJI sont-elles en sécurité ou risquent-elles d’échouer dans les mains de Pékin ? L’entreprise déplore de « fausses accusations » provenant des Etats-Unis.
La question est posée depuis 2017, lorsque l’armée américaine a diffusé une note intimant à ses troupes l’ordre de ne plus utiliser les produits du chinois DJI. Les drones du numéro un mondial sont-ils susceptibles de laisser fuiter leurs données à destination des autorités de Pékin ? Lors de sa conférence annuelle AirWorks, organisée du mardi 24 au jeudi 26 septembre à Los Angeles, DJI a, de sa propre initiative, remis la controverse à l’ordre du jour. Mario Rebello, le patron de la division américaine, est monté au créneau pour dénoncer « les fausses accusations » dont serait victime l’entreprise et appeler l’industrie des drones à faire pièce à la firme de Shenzhen, qui s’est inventé un slogan pour faire reconnaître sa bonne foi : « Vos datas ne sont pas mon business ».
Cette confrontation, que la guerre commerciale engagée entre les Etats-Unis et la Chine contribue à remettre sur le devant de la scène, peut se résumer en cinq questions.
Quelles sont les origines de la controverse ?
En mai 2016, un porte-parole de DJI déclare tout de go à Bloomberg que l’entreprise serait disposée à transmettre aux autorités chinoises, si la demande lui en était faite, les données de vol (localisation, photos, vidéos) des utilisateurs de drones situés à Hongkong. Voilà qui fait désordre. Léger malaise et rétropédalage de l’entreprise, mais le mal est fait. En août de l’année suivante, coup de tonnerre : le site américain SuasNews révèle qu’une circulaire interne de l’armée américaine donne pour consigne « de cesser toute utilisation et de désinstaller les applications DJI, de retirer les batteries et les unités de stockage des appareils ». La décision est dictée par « la prise de conscience des vulnérabilités des produits DJI aux cyberattaques ». L’administration des douanes renchérit à son tour sur l’existence de « risques potentiels ». La guerre est déclarée.
Un drone DJI peut-il être piraté ?
La réponse est oui, évidemment. Cependant, ce n’est pas le drone qui est directement en cause – à moins d’intercepter la liaison Wi-Fi entre l’appareil et la radiocommande –, mais les informations qui en sont extraites pour être stockées en ligne. Accepter de synchroniser ses données sur l’application du constructeur ou télécharger ses mises à jours ouvrent autant de portes par lesquelles peuvent s’engouffrer de discrets traqueurs de data, d’images et de vidéos. Ce qui devient gênant, lorsqu’il s’agit de données sensibles enregistrées dans le cadre d’activités militaires… Le cloud de DJI, situé sur des serveurs chinois, est considéré comme un facteur de risque central par les détracteurs du constructeur.
Et si le problème ne venait pas de Pékin ?
Les inquiétudes exprimées par les militaires américains, qui n’ont pas découvert un beau matin que les données d’un drone pouvaient être siphonnées, visaient peut-être un autre maillon faible : la capacité du constructeur chinois à vraiment sécuriser ses données. Faute d’avoir pu monnayer auprès de DJI ses découvertes, un hackeur bien connu a dévoilé en septembre 2017 que le numéro un mondial des drones de loisirs avait laissé accessibles des informations confidentielles, parmi lesquelles des clés privées de chiffrement, sur le service Github, dont sont coutumiers de très nombreux développeurs pour partager du code informatique. Mais il n’est pas non plus exclu que l’US Army ait, tout simplement, mal protégé ses propres données stockées sur ses drones DJI.
On en est donc réduit à des conjectures. Une chose est sûre, considère cependant Benoît Guillot, le patron d’Artedrones, qui a réalisé pendant six jours avec son équipe la modélisation intégrale en 3D de l’intérieur de Notre-Dame après l’incendie du 15 avril : « Si l’on ne veut pas être piraté, il faut éviter de connecter sur un réseau mondial l’ordinateur sur lequel les données d’un drone auront été stockées. Il ne faut pas être crédule. »
A l’avenir, quelles parades sont envisageables ?
« Les drones DJI utilisés par les entreprises ou les administrations publiques sont souvent des produits de grande consommation qui ont été adaptés à des usages professionnels. Il faudrait déterminer des règles spécifiques pour ce type d’utilisation », souligne Mario Rebello. Selon lui, il est devenu nécessaire de définir collectivement, en associant pouvoirs publics et industriels, des standards assurant la confidentialité des données recueillies en vol. La piste est intéressante, mais ses contours sont encore extrêmement flous. Pour l’heure, DJI entend prouver sa bonne foi en proposant aux organismes publics de maintenir leurs drones dans un environnent clos, grâce à un système baptisé « Government Edition ». Disponible depuis l’été, celui-ci bloque toute transmission de données vers le cloud du constructeur. Si le client souhaite malgré tout les synchroniser, il pourra le faire sur un serveur spécifique situé aux Etats-Unis. Proposition louable mais tardive.
L’épisode d’une vaste guerre commerciale ?
On peut difficilement faire abstraction des enjeux économiques et géopolitiques qui composent l’arrière-plan de ce bras de fer. DJI, on le sait, est en position quasi hégémonique sur le marché des drones civils. Les américains GoPro ou 3DRobotics ne sont jamais parvenus à lui tenir la dragée haute et ont mis la clé sous la porte. L’US Army n’a donc pas eu d’autre choix que de s’équiper en produits DJI, les plus évolués technologiquement mais pas les moins chers. On note aussi que les nouvelles mises en cause du constructeur chinois lancées au cours de ces derniers mois, notamment en juin, par le Département de la sécurité intérieure, sont intervenues alors que l’administration Trump accentuait sa pression sur les importations en provenance de Chine. En particulier contre le géant des télécoms Huawei, accusé de porter gravement atteinte aux intérêts américains.
Finalement, il apparaît que les accusations portées contre DJI n’ont pas eu l’impact escompté auprès des organismes publics indépendants des autorités fédérales. Selon un recensement réalisé l’an passé, plus de 520 services de police ou de lutte contre les incendies ont acquis des drones DJI. Et selon le Center for the Study of Drones du Bard College de New York, quatorze services de secours financés par des fonds fédéraux se sont eux aussi équipés de drones du constructeur chinois. Reste que celui-ci risque dans les prochains mois d’encaisser le choc des sanctions commerciales imposées aux produits chinois. Pendant ce temps, la concurrence tente de reprendre quelques couleurs. Le français Parrot a été retenu parmi les fournisseurs potentiels de l’US Army, alors que son compatriote DroneVolt a déjà conclu plusieurs contrats avec les militaires américains.
Jean-Michel Normand