DJI: Il signale une faille, on le traite comme un pirate
Actualisé

DJIIl signale une faille, on le traite comme un pirate

Après lui avoir promis 30'000 dollars de récompense pour la découverte d'une faille de sécurité, le fabricant de drones DJI a menacé un chercheur en sécurité de représailles judiciaires.

par
man
Un modèle de drone DJI.

Un modèle de drone DJI.

Keystone/Valentin Flauraud

Le chercheur en sécurité Kevin Finisterre pensait pouvoir tirer profit du programme Bug Bounty lancé par l'entreprise chinoise DJI en août dernier. Pour rappel, ce type de programme vise à sécuriser des services et des produits en récompensant des chercheurs pour la découverte de vulnérabilités. L'expert a finalement renoncé aux 30'000 dollars, soit la prime la plus importante, que l'entreprise chinoise lui avait promis pour le signalement d'une faille, a-t-il raconté dans un long billet racontant sa mésaventure.

Kevin Finisterre a en effet découvert que le fabricant de drones avait laissé en libre accès sur la plateforme GitHub des clés privées, dont celle de chiffrement pour les certificats de sécurité du nom de domaine dji.com, pendant au moins deux ans. Des identifiants d'accès aux services cloud Amazon Web Services du constructeur étaient aussi accessibles. Ces données lui ont permis d'accéder à des données sensibles de clients de DJI hébergées sur ses serveurs.

Mais après avoir signalé le problème, le chercheur a renoncé à signer le contrat que tentait de lui faire signer le fabricant. Selon lui, il «n'offrait aucune forme de protection aux chercheurs.» «Pour moi, le libellé mettait mon droit au travail en danger et posait un conflit d'intérêts direct à beaucoup de choses comme ma liberté de parole», écrit-il en décrivant le document comme une «blague» rédigé à la va-vite.

«Pas moins de quatre avocats m'ont dit de différentes manières que l'accord était non seulement extrêmement risqué pour moi, mais a probablement été conçu de mauvaise foi pour faire taire tout signataire potentiel», ajoute-t-il. Après avoir tenté de le faire modifier, les choses se sont même empirées. Dans une nouvelle lettre, DJI l'aurait traité de «pirate» et menacé de porter plainte en vertu de la loi sur la fraude et l'abus informatique (CFAA).

«Pour les programmes Bug Bounty, DJI demande aux chercheurs de suivre des règles standards, qui servent à protéger les données confidentielles et laisser du temps pour l'analyse et la résolution d'une vulnérabilité avant qu'elle ne soit rendue publique. Le pirate en question a refusé d'accepter ces conditions, malgré les efforts continus de DJI pour négocier avec lui, et menacé DJI si ses conditions n'étaient pas respectées», a fait savoir la firme dans un communiqué. Entre-temps, elle a annoncé avoir révoqué les certificats et les identifiants exposés sur GitHub.

Ton opinion