Le cabinet américain OnDefend publie l’évaluation de cybersécurité la plus exhaustive jamais menée sur les produits DJI : six mois de tests, zéro risque critique identifié.
Le débat autour de la sécurité des drones DJI vient de franchir un cap purement technique. En mai 2026, OnDefend a soumis les produits DJI à l’évaluation indépendante la plus rigoureuse de l’industrie — voici ce que les ingénieurs ont réellement trouvé.
L’évaluation couvre la période d’octobre 2025 à mars 2026, soit six mois de tests en conditions réelles sur les modèles grand public (DJI Air 3S, RC 2) et professionnels (DJI Matrice 4E, RC Plus 2 Enterprise).
| Critère Évalué | Résultat de l’Audit | Impact Opérationnel |
|---|---|---|
| Risques Critiques / Élevés | ✅ 0 détecté | Aucun danger de piratage à distance ou de militarisation |
| Fuite de données hors USA | ✅ Aucune | Tous les flux pointent vers des serveurs basés aux États-Unis |
| Portes dérobées (Backdoors) | ✅ Aucune | Les contrôleurs ont résisté à toutes les tentatives de jailbreak |
| Émissions Radio Suspectes | ✅ Aucune | Tous les signaux RF (1 MHz – 6 GHz) liés à des fonctions connues |
| Vulnérabilités Faibles / Obs. | ⚠️ 10 Low · 13 Obs. | Faiblesses mineures d’apps, correctifs en cours chez DJI |
L’une des principales préoccupations des instances de sécurité nationale concerne l’exfiltration de données géospatiales ou d’imagerie vers des serveurs étrangers. L’analyse de trafic réseau d’OnDefend livre des conclusions nettes.
✅ Aucun transfert vers la Chine. L’analyse des paquets de données démontre qu’aucune information n’est transmise en dehors des États-Unis. Les flux se dirigent exclusivement vers des infrastructures locales — serveurs associés à Alibaba Cloud US, Tencent Cloud US, Google, Facebook, Mozilla ou Amazon.
Ce mode, qui coupe les connexions internet de l’application de vol, a été validé comme totalement efficace. Même après sa désactivation, aucune donnée sur les vols antérieurs n’a fuité sur le réseau.
💡 Conseil expert — air-gap parfait : bien que le protocole applicatif bloque l’envoi de données, le système d’exploitation de la radiocommande peut chercher à se connecter au Wi-Fi. Pour une isolation totale, désactivez manuellement le Wi-Fi de la manette en plus d’activer le Local Data Mode.
Pour garantir l’intégrité des tests, OnDefend s’est procuré les appareils de manière anonyme. Les ingénieurs — dont certains issus de l’armée et du gouvernement américain — ont appliqué une méthodologie rigoureuse en quatre étapes.
01 — Acquisition anonyme en magasin. DJI Air 3S avec RC 2 achetés en points de vente standards pour éliminer tout biais de sélection dans la chaîne d’approvisionnement.
02 — Modèles professionnels via revendeurs standards. DJI Matrice 4E avec RC Plus 2 Enterprise acquis directement dans les stocks de revendeurs, sans implication de DJI dans la chaîne.
03 — Désassemblage PCB + analyse au niveau silicium. Imagerie IA sur les circuits imprimés — zéro modification clandestine, zéro composant contrefait, zéro altération de la chaîne logistique détectés.
04 — Scan spectral RF 1 MHz – 6 GHz. Le protocole DJI O4 a résisté à toutes les attaques par injection, rejeu ou brouillage. Les émissions initialement non documentées à la FCC s’avèrent de simples artefacts de synthèse du signal O4.
Un audit réaliste trouve toujours des points d’amélioration. OnDefend a identifié 10 vulnérabilités à faible risque et 13 observations. Aucune ne compromet la sécurité des vols, ni ne permet une exfiltration massive de données confidentielles.
⬤ LOW RISK
Jetons d’accès persistants sans rotation automatique dans certaines configurations de l’app mobile.
⬤ LOW RISK
Utilisation de versions TLS plus anciennes sur certains endpoints non critiques, en cours de mise à jour.
◆ OBSERVATION
Durcissement réseau insuffisant lors de l’activation du mode de transfert rapide de fichiers en local.
◆ OBSERVATION
Plusieurs paramètres sous-optimaux — correctifs intégrés en collaboration active avec DJI.
ℹ️ DJI a collaboré activement durant l’évaluation pour intégrer des correctifs dans ses prochaines mises à jour logicielles. Aucun de ces points ne met en danger la sécurité des vols ni ne permet une exfiltration massive de données confidentielles.
des 1 800 agences de sécurité publique américaines utilisent DJI
des pros estiment qu’une interdiction serait critique ou fatale pour leur activité
mois de tests couvrant hardware, firmware, réseau et radiofréquences
Aux États-Unis, les drones DJI représentent un outil de travail indispensable. En apportant des preuves techniques tangibles suite à l’inscription de DJI sur la « Covered List » de la FCC en décembre 2025, l’industrie espère désormais éclairer les décisions politiques par des faits vérifiables et non des suppositions.
« Ces conclusions confirment ce que DJI a toujours soutenu : nos produits sont sûrs, nos pratiques de gestion des données sont transparentes, et les inquiétudes qui ont motivé notre inscription sur la Covered List de la FCC ne reposent sur aucune preuve technique. Nous demandons à la FCC d’examiner attentivement ces résultats dans le cadre de notre appel. »
— Adam Welsh, Directeur de la politique mondiale, DJI
Depuis 2014, Escadrone accompagne ses clients dans l’intégration de la robotique autonome pour des usages civils professionnels.
Pionnière dans la conception, la vente, l’homologation de drones et la formation à ses usages et métiers, elle se positionne comme experte de son domaine et connaît parfaitement tous les acteurs et les produits du marché.
Escadrone vous supporte sur l’ensemble de la chaîne de valeurs depuis la formation à vos outils de collecte d’informations jusqu’au traitement et l’interprétation de vos données.
Articles récents
