C'est l'un de ces problèmes de sécurité à peine croyables par son ampleur. Le constructeur chinois DJI a ainsi laissé en accès libre pendant deux à quatre ans un lot de données très précieuses. Le chercheur Kevin Finisterre explique dans son rapport que les clés du nom de domaine, la clé privée de chiffrement AES pour les firmwares et des identifiants Amazon Web Services étaient disponibles sur le dépôt GitHub de l'entreprise.
Si le chercheur a publié un rapport, c'est que DJI aurait argué d'un problème de forme dans la demande débouchant normalement sur les 30 000 dollars de récompenses, le constructeur ayant son propre bug bounty. DJI a indiqué que les certificats avaient été révoqués et les identifiants changés. Ce qui ne résout pas nécessairement tous les soucis de sécurité dans l'immédiat.
Le constructeur ne sort pas grandi de cette histoire. Outre l'ampleur du défaut de sécurisation, le chercheur explique avoir été menacé pendant la négociation de la récompense. DJI l'aurait traité de « pirate », évoquant une éventuelle plainte pour violation de la loi américaine CFAA (Computer Fraud and Abuse Act).
L'entreprise estime pour sa part que le chercheur n'a tout simplement pas voulu suivre les règles de son programme de chasse aux bugs.
Commentaires (3)
#1
Le constructeur ne sort pas grandi de cette histoire.
c’est peu de le dire.
#2
Faire le difficile pour reverser la récompense?? Pas sur que le programme bug bounty de DJI fonctionne bien…
#3
Ils ont pris exemple sur le remboursement de la RCP aux professionnels en France
" />
“Si vous sacrifiez votre premier né un soir de pleine lune au sommet de l’Himalaya en chantant l’intégrale de Jul avec un poireau dans le nez, on vous fournit un ticket restaurant presque périmé. Une affaire !”