DJI et la vie privée
Une interview de Zhang Fanxi, un porte-parole de DJI, a déclenché une polémique sur l’usage des données stockées par le constructeur. L’introduction de l’article publié sur Bloomberg Technology est alarmiste : « la prochaine fois que vous ferez voler un drone de DJI à Hong Kong, les autorités de Pékin seront peut-être en train de voir ce que vous voyez ». On ne sait pas quels ont été les propos exacts de Zhang Fanxi, l’auteur de l’article explique que « le constructeur a indiqué être en discussion avec les officiels du gouvernement chinois pour que les données capturées par ses appareils volants soient récupérées via l’application. Elles incluent le lieu, les enregistrements de vols, et éventuellement les vidéos réalisées par les utilisateurs et uploadées sur ses serveurs ».
Aie !
Il n’en fallait pas moins pour que les spécialistes de la vie privée agitent leur drapeau rouge. Mais alors, faut-il s’inquiéter ? La réponse est assez simple : non, mais il faut rester vigilant. Comment fonctionne le stockage des données sur les produits de DJI ? Avant le premier décollage d’un Phantom ou d’un Inspire, il faut s’inscrire auprès du constructeur. Les données de type « flight log » sont enregistrées sur les serveurs de DJI, le fameux Cloud. C’est ce qui vous permet de visionner le trajet de vos vols après coup : chaque point de passage de votre appareil y est consigné, avec la date, les coordonnées GPS, l’altitude, le cap et une multitude de données issues des capteurs à bord. Plus des photos. Et puis ? A vrai dire, on ne sait pas vraiment, les données sont partiellement cryptées, et leur contenu n’est pas connu. Des vidéos, par exemple, peuvent-elles être aussi transférées ? A priori non, mais il est difficile de savoir ce qui passe vraiment dans le « tuyau » qui relie la caméra au contrôleur de vol puis au smartphone et au Cloud de DJI.
Les vidéos, si je veux
Le stockage des données photos et vidéos n’est pris en charge par DJI que via le service Skypixel, une base de données offerte par le constructeur. Une sorte d’outil présenté comme du « win-win » : le client est gagnant parce qu’il dispose d’un espace de stockage gratuit doublé d’une vitrine qui permet de partager ses réalisations avec tout le monde, le constructeur est gagnant puisqu’il se constitue une base de données média gigantesque, et s’offre un trafic web conséquent par le visionnage des photos et vidéos. Les photos et les vidéos des possesseurs d’appareils de DJI ne sont partagées et publiées que si leur auteur le veut bien. Mais peut-on être certain qu’elles ne sont pas stockées à leur insu ? Non, malheureusement, il est impossible d’en être certain.
Mais alors…
Les inquiétudes de Bloomberg seraient-elles justifiées ? La Chine dispose-t-elle d’un œil de… Pékin sur les données de ses clients ? Potentiellement, oui – ce qui ne veut pas dire que c’est le cas. Pourrait-elle visionner ce que fait un pilote en temps réel ? Techniquement, la bande passante des smartphones est encore un peu juste pour offrir un retour vidéo via la téléphonie mobile, mais c’est déjà possible, notamment avec le déploiement de normes plus rapides comme le LTE. Mais la consommation de données grimperait en flèche : la pratique serait vite démasquée. Le scénario alarmiste de Bloomberg est donc possible ? Techniquement, oui. Mais dans la pratique, c’est hautement improbable. En tous cas pour l’instant.
DJI et les autres
Est-ce un problème spécifique à DJI ? Pas du tout. Prenons l’exemple du constructeur Parrot. Français, donc. Téléchargez l’application FreeFlight3, inscrivez-vous (même si vous n’avez ni AR.Drone ni Minidrone ni Bebop). Passez dans la Drone Academy, consultez la carte… Surprise, vous y voyez consignés des dizaines de milliers de vols avec l’indication du pseudo du pilote, du parcours GPS, de l’altitude, de la vitesse quand il s’agit d’un Bebop ou d’un Bebop 2… Par défaut, les données sont publiques, il faut les déclarer privées. Peut-on faire confiance à cette société ? Sans doute. Mais dans une certaine mesure seulement : les clients ne savent pas ce qui passe dans les « tuyaux », ni qui y a vraiment accès. Les photos et les vidéos transitent-elles par les serveurs de Parrot. Allez savoir. Et les autres constructeurs ? Tous les engins volants qui ont un accès vers l’extérieur, qui sont « connectés », sont potentiellement diffuseurs d’informations à l’insu de leur propriétaire. Donc tous ceux dont l’utilisation repose sur un smartphone…
Demandes officielles
Les requêtes des autorités auprès des constructeurs pour obtenir l’accès aux données de vol et aux fichiers multimédias vont-elles être satisfaites ? DJI a déjà indiqué que ce serait le cas avec les autorités chinoises. Il y a fort à parier que les demandes de pays comme la France et les Etats-Unis aboutissent également, car rares sont les constructeurs à tenir tête. C’est le cas d’Apple, qui a refusé de collaborer avec le FBI pour décrypter le contenu de ses iPhone, mais cela reste une exception. Mais il est fort probable que les constructeurs n’aient en fait pas leur mot à dire… Pourquoi ?
Parce que demain…
Il vaut mieux s’y préparer : ce ne seront pas les constructeurs chinois ou français ou autres qui vont exploiter les données de leurs clients dans un but de sécurité ou de surveillance, en temps réel ou en différé. Ce seront les autorités ! 
Car dans la quasi-totalité des pays où existe une réglementation concernant les vols radiocommandés, sont discutées de futures lois visant à identifier les pilotes des appareils qui décollent, à les localiser et à stocker les données de chaque vol avec l’aide de trackers connectés et désolidarisés de l’électronique de bord. Ainsi, plus besoin pour les autorités chinoises de faire la demande à DJI pour accéder aux données de vols, ce sera… automatique ! On imagine la foire d’empoigne si les technologies de consultation de données à distance se croisent. Des exemples ? Les autorités françaises pourront-elles avoir automatiquement accès au plan de vol d’un pilote français de Bebop 2 à Pékin ? Les autorités chinoises pourront-elles avoir accès aux photos prises par un pilote français à New-York en interrogeant DJI ? Les scénarios sont nombreux. Les avocats en droit international se tortillent de bonheur et se frottent déjà les mains…
Et nous, dans tout ça ?
Puisque la technologie permet une réelle intrusion dans la vie privée sans même qu’on le sache, puisqu’on n’a pas accès aux codes source des logiciels utilisés par la plupart de constructeurs, le principe de précaution est la meilleure arme si on utilise des multirotors « connectés » en temps réel ou en différé. Exactement comme avec un smartphone et ses multiples applications, une montre sportive avec son GPS et son capteur cardio. Nous en sommes plus ou moins conscients : être actif sur Facebook, Twitter ou Instagram, c’est rendre la notion de vie privée toute relative. Idem si on utilise un service d’assistance à la navigation comme Waze ou Google Maps. Ou du stockage et de retouche d’images comme Picasa.
Il faut être « aware »
Les multirotors ne sont finalement qu’un outil média de plus capable de connaître votre position et ce que vous y faites. Nous sommes libres de refuser cela, en utilisant des outils non connectés par exemple (vive les racers et leur absence de GPS, de wifi), et en surveillant très attentivement la « vie » de nos fichiers multimédias. Mais ce n’est pas facile. 
Le plus probable, c’est que nous acceptions le fait que nous soyons fichés, numérisés, partagés, quantifiés, analysés, de manière anonyme ou au contraire totalement nominative, comme nous le sommes déjà avec les smartphones… Derrière tout cela, il y a le Big Data, cette technologie qui consiste à brasser des volumes de données monumentaux pour en extraire des tendances et des besoins. Lesquels valent de l’or pour les assureurs, les voyagistes, les banques, la grande distribution, les constructeurs… Science-fiction ? Oui, pour l’instant, la pénétration des multirotors connectés dans les foyers est encore très insuffisante pour que le Big Data soit efficace. Mais ce n’est qu’une question de temps…
Ce n’est pas la peine de céder à la panique, de tout débrancher et de remiser votre multirotor sur une étagère : de toutes façons, vous êtes DEJA fiché et analysé. Allez, bons vols !
c’est même pas surprenant!!
J’ai jamais été fan des machines DJI, mais ce que je viens de lire vient de me vacciner.
Les logs des vols sont sur un cloud DJI et ils faut s’inscrire pour les récupérer ? Non mais LOL …
Analyse très intéressante. Merci Fred. Il semble bien évident qu’à plus ou moins long terme on ne pourra pas échapper à ce genre de flicage. Comme nous sommes de plus en plus nombreux sur la planète, la probabilité d’y rencontrer des individus « tordus » avec des intentions plus ou moins avouables devient vite préoccupante. Et comme la technologie offre des ressources toujours plus puissantes et facilement accessibles, les pouvoirs publics auraient bien tort de s’en priver. Il faut effectivement s’inquiéter de l’usage qui pourrait en être fait. Mais comme le souligne Fred en conclusion de son post, ne sommes-nous pas déjà fliqués ? Smartphones, réseaux sociaux, cartes bancaires, caméras de vidéosurveillance, radars, carte Vitale, titres de transport … et j’en passe … sont déjà à l’œuvre. Alors, un moyen de plus ou de moins … qui va s’en soucier parmi les rampants que nous sommes ? Entre des canons laser doublés d’un radar ultra précis postés à grands frais dans tous les endroits sensibles et un data-center déjà à l’œuvre, le choix est vite fait. Il restera malgré tout une échappatoire : bricoler soi-même son multi avec un contrôleur de vol open-source, mais s’il doit intégrer les dernières technologies (waypoints, follow-me etc.) il va falloir s’accrocher.
moi je dis vive l arducopter!!!laissez tombé dji un peu
Franchement, tout cela me derange pas.
j’ai jamais été fan des technos propriétaires et leurs softs fermés où on sais pas trop ce que ce passe là dedans, que ce soit Microsoft pour le logiciel, Apple pour les smartphones et DJI pour les drones, dans chacun de cas cas la concurrence en open-source fournis les même fonctionnalités voir mieux, en l’occurence APM pour les drones.