Le DJI chinois est de loin le leader des drones pour civils, avec une part de marché globale de 70%. Elle dispose d’une équipe de recherche et développement de 1 500 employés, toujours en avance sur la concurrence, et peut proposer ses produits – comme la ligne Phantom – à des prix inférieurs à ceux des autres entreprises.
Cependant, elle a quelques problèmes de sécurité. L’armée américaine a interdit l’utilisation de ses drones à toute fin militaire ; il y a également des rapports sur des personnes qui piratent son firmware.
L’entreprise a donc décidé de lancer un programme de bogue de prime : depuis le mois d’août, toute personne qui découvre des défauts dans son logiciel peut gagner entre 100 et 30 000 euros. Un seul chercheur a trouvé une faille de sécurité dans les serveurs du DJI et a reçu des menaces au lieu d’une récompense.
Selon Ars Technica, le chercheur Kevin Finisterre a pu accéder à des fichiers que DJI a laissés sans protection dans le Cloud d’Amazon Web Services. Il s’agit notamment de photos des passeports des clients, des permis de conduire et des carnets de vol.
Il a ensuite trouvé une faille pour accéder aux images sur SkyPixel, le service de partage de photos de DJI. Ici, il était possible de voir les drones endommagés, les personnes coupées par les hélices, ainsi que les reçus et autres données personnelles. Selon le Finisterre, il a été possible de trouver les certificats SSL et les clés de cryptage AES sur GitHub.
Il a parlé à un employé par e-mail pour l’avertir du problème, échangeant 130 messages au cours des semaines. “A un moment donné… DJI a même proposé de m’engager directement comme consultant en sécurité”, écrit Finisterre.
En septembre, la société a proposé de payer 30 000 euros pour l’échec. Puis, soudainement, elle a averti que ses serveurs n’étaient plus dans le champ d’application du programme de récompenses. Un mois plus tard, le secteur juridique a envoyé une lettre exigeant qu’il détruise les données qu’il avait découvertes, ou qu’il soit poursuivi en vertu de la loi sur la fraude et les abus informatiques (CFAA).
DJI a ensuite envoyé un contrat “d’offre finale”. Finisterre écrit que “pas moins de quatre avocats m’ont dit de diverses manières que l’accord était extrêmement risqué, et aussi probablement créé de mauvaise foi pour faire taire tous ceux qui l’ont signé. Il a donc renoncé aux 30 000 euros et a publié les résultats sur son site web personnel.
Dans une déclaration à Ars Technica, DJI dit avoir été menacée par le Finisterre et le qualifie de “hacker” :
DJI enquête sur l’accès non autorisé à l’un de nos serveurs contenant des informations personnelles envoyées par nos utilisateurs. Dans le cadre de notre engagement en faveur de la sécurité des données des clients, DJI a chargé une société indépendante de cybersécurité d’enquêter sur ces rapports et sur l’impact de tout accès non autorisé à ces données.
Aujourd’hui, un pirate informatique qui a obtenu certaines de ces données a mis en ligne des conversations confidentielles avec des employés de DJI concernant leurs tentatives de réclamer une “prime de bug” au Centre de réponse de sécurité de DJI… Le hacker en question a refusé d’accepter les conditions standard des programmes de récompense, malgré les tentatives continues de négociation avec lui ; et a menacé DJI si ses conditions n’étaient pas respectées.
