Des chercheurs piratent des drones pour souligner les risques envers les humains

Des chercheurs de l’Université de la Colombie-Britannique ont publié un article décrivant plusieurs scénarios dans lesquels des véhicules robots peuvent être piratés à distance et détournés de leur comportement habituel, mettant potentiellement les humains en danger.

Les drones (terrestres ou aériens) sont conçus pour autoriser une certaine marge de déviation de la trajectoire prévue en raison de facteurs environnementaux tels que la friction ou le vent, selon le document. Ces véhicules récréatifs disposent donc d’un certain seuil de tolérance avant de signaler les écarts comme des attaques, tandis que le bruit des capteurs et les défauts de l’utilisateur aggravent ce phénomène.

Les auteurs Pritam Dash, Mehdi Karimibiuki et Karthik Pattabiraman ont décidé de sonder ces «fenêtres» d’attaque. Ils ont développé un processus automatisé permettant de connaître les seuils et les tolérances de chaque système pour tout drone utilisant le contrôle dérivatif proportionnel intégré  (PID) – le contrôle technique le plus répandu.

Le trio a pu mener des attaques ciblées contre le drone en contrôlant la déviation introduite et le moment choisi pour les attaques. Ils montrent également comment l’attaquant peut rester furtif et éviter les techniques de détection traditionnelles.

“Bien que les déviations puissent être minimes, les attaques ont des conséquences graves car elles peuvent être exécutées sur une longue période et à l’heure et l’endroit choisis par l’attaquant”, ont déclaré les chercheurs. “Cela les rend particulièrement insidieuses lorsque les drones de loisir sont utilisés dans des scénarios critiques pour la sécurité.”

Les geeks trouveront sans aucun doute le document intéressant. Le lecteur occasionnel, cependant, trouvera probablement son bonheur dans la section 3.2 – scénarios d’attaque. Cette section explique l’impact des attaques contre les drones dans des scénarios industriels. Le plus intéressant est peut-être le scénario du mode de commutation, qui peut forcer un drone de livraison à se planter intentionnellement et blesser des personnes :

“Mode commutation : l’attaque en mode commutation est une forme d’injection de données erronées lancée dans des états très vulnérables de la mission du drone. Connaissant le mode de fonctionnement en cours, l’attaquant peut injecter du code malveillant, qui est déclenché lorsque le drone passe en mode de fonctionnement. Par exemple, lorsqu’un drone passe en mode terrestre, un fragment de code malveillant écrasera les signaux de l’utilisateur. Cela incitera le drone à prendre de l’altitude au lieu d’atterrir ou à augmenter la vitesse du rotor, ce qui obligera le drone à atterrir plus fort que sa norme de sécurité le prévoit, entraînant potentiellement un crash. Lorsqu’une telle attaque est lancée contre des drones de livraison, cela peut endommager les colis ou blesser les destinataires du colis. Comme l’attaque n’entraînera pas un dépassement du seuil prédéfini par les paramètres de surveillance, le système de détection d’intrusion (IDS) ne pourra pas le détecter.”

Les véhicules récréatifs utilisés pour les expériences incluent un drone DIY à base de Pixhawk et le rover Aion R1, illustré ci-dessous.

 

 

Une partie intitulée “Contre-mesures” devrait aider les vendeurs de drones qui cherchent à concevoir de futurs produits avec des protections intégrées contre les attaques décrites dans le document.

Bien que ces constatations soient présentées comme de simples preuves de concept, des pirates motivés pourraient commettre de telles attaques dans un avenir proche, à mesure que les appareils connectés se répandent et que notre société devient de plus en plus automatisée. Selon une projection de Statista, le nombre d’objets connectés atteindra plus de 70 milliards d’ici 2025. Une prévision plus modérée d’IDC prévoit 41,6 milliards de ces objets “intelligents” en 2025, générant 79,4 zettaoctets (ZB) de données, ce qui reste très impressionnant.