DJI vs Kevin Finisterre
A la fin de l’été 2017, DJI avait annoncé vouloir récompenser les spécialistes des failles informatiques en mesure de trouver des trous de sécurité dans les produits de la marque. Avec la promesse d’une récompense pouvant aller jusqu’à $30000 selon l’importance de la trouvaille (voir ici). Kevin Finisterre, un spécialiste de la sécurité appliquée aux drones, vient de publier un long texte racontant ses déboires face aux responsables juridiques de DJI. « Comment j’ai abandonné la récompense de $30000 de DJI » décrit la procédure pour déclarer une faille à DJI, la réponse du constructeur, puis les échanges de mails entre les deux parties concernant les détails légaux.
C’est là que le bât blesse
En tous cas si l’on en croit Kevin Finisterre, puisqu’il assure que les requis de DJI en matière de confidentialité ne sont pas raisonnables. Ils ne garantissent notamment pas la liberté de parole, selon le spécialiste de la sécurité. La fin provisoire de l’histoire, c’est qu’il a refusé d’adhérer aux conditions de DJI et fait une croix sur les $30000 de récompense promis par la marque, qui semblait indiquer avec cette somme que la faille découverte était importante. Ce qui l’a obligé à annuler sa commande… d’une Tesla Modèle 3. L’argument peut prêter à sourire. Mais ce différent met tout de même en lumière le réel conflit entre les deux parties.
Une faille ancienne
Il faut noter que la faille de sécurité débusquée par Kevin Finisterre n’était plus vraiment fraîche. Il s’agit de clés de chiffrement SSL laissées en clair sur le site d’aide au développement de logiciel Github, en mesure de donner accès à des mots de passe et à d’autres informations. Nous avions déjà de ces clés oubliées fin avril 2017 (voir ici). DJI a trainé, sans doute beaucoup trop, pour révoquer les certificats. La prise au sérieux de cette affaire est récente, et son suivi très mal géré. Si vous êtes à l’aise en anglais, lisez le document écrit par Kevin Finisterre et faites-vous une idée.
Edit : les conditions de DJI pour la récompense sont récapitulées ici, depuis le 16 novembre 2017…
DjI comme microSoft jouent les gros bras, mais resteront en ligne de mire des hackers de tout bord. Penser espérer un retour financier, même si on devait les aider est bien souvent une chimère, comme dans beaucoup d’autres domaines malheureusement 🙁
Je n’ai aucune expérience en Bug Bounty, mais il semble bien que ce Hacker ( NB: qui n’est pas un Cybercriminel), comme tant d’autres, après avoir démontré des failles issues de négligences de la part de DJI pour s’offrir un extra avec la récompense, se retrouve acculé par un rouleau compresseur de juristes /avocats comme tant d’autre pour ne vouloir rentrer dans le rang de la confidentialité en l’ayant clamé haut et fort…
Un débat de hackers, mais cela montre quand même l’importante considération de part de DJI sur le sujet vis à vis de récentes mises en cause ( comme par ex: l’armée US…)
Apparement les 2 n’ont pas la même vision.
Voici un petit communiqué inédit et assez croustillant de la part de DJI :
16 novembre 2017 – DJI enquête sur l’accès non autorisé signalé d’un des serveurs de DJI contenant des informations personnelles soumises par nos utilisateurs.
Dans le cadre de son engagement envers la sécurité des données de ses clients, DJI a fait appel à une société de cybersécurité indépendante pour enquêter sur ce rapport et sur l’impact de tout accès non autorisé à ces données. Aujourd’hui, un pirate qui a obtenu une partie de ces données a mis en ligne ses communications confidentielles avec les employés de DJI au sujet de ses tentatives de réclamer une «prime d’insecte» auprès du centre de réponse de DJI Security.
DJI a mis en place son Security Response Center pour encourager les chercheurs indépendants en sécurité à signaler de manière responsable les vulnérabilités potentielles. DJI demande aux chercheurs de suivre des termes standard pour les programmes de primes de bogues, qui sont conçus pour protéger les données confidentielles et laisser du temps pour l’analyse et la résolution d’une vulnérabilité avant qu’elle ne soit divulguée publiquement. Le hacker en question a refusé d’accepter ces conditions, malgré les tentatives répétées de DJI de négocier avec lui, et a menacé DJI si ses conditions n’étaient pas remplies.
DJI prend la sécurité des données très au sérieux et continuera à améliorer ses produits grâce à des chercheurs qui découvriront et divulgueront de manière responsable les problèmes susceptibles d’affecter la sécurité des données utilisateur DJI et des produits DJI. DJI a payé des milliers de dollars à près d’une douzaine de chercheurs qui ont soumis des rapports au Security Response Center et accepté les conditions de paiement. Alors que le Security Response Center reçoit de nouveaux rapports, DJI accepte régulièrement de verser de nouvelles primes aux chercheurs pour leurs découvertes.
Plus de détails sur le Security Response Center et des informations sur la façon de soumettre des bogues sont disponibles sur le site Web du centre à l’adresse security.dji.com.
Il est bien évident, que du point de vue DJI, c’est le hacker le vilain !
C’est malheureusement lot de pleins de hackers « de bonne fois » qui ont tenté / veulent tenter leur chance, face à des multinationales / des GIE, et qui finissent condamnés « pour l’exemple » afin que les autres candidats potentiels rentrent dans le rang….
De mon point de vue, cela demeure un sujet de réflexion complexe propre la communauté Hacker que chacun peut cautionner ou pas… un peu comme les « lanceurs d’alertes » oserai-je écrire… ?
Il y a des méthodes standard dans l’industrie de gérer les « bug bounty » qui assurent le gain des 2 parties, la reconnaissance due et une transparence pour le public qui marchent très bien et sont globalement acceptées.
Evidemment DJI se la joue DJI et complètement à l’opposé de ce qu’ils disent dans leur communiqué en parlant des « termes standards » au lieu d’utiliser ça a voulu faire leur propre truc pour d’un côté obtenir la « bonne presse » de « oui on veut améliorer la sécuriité etc », mais en même temps comme a leur habitude d’éviter la transparence donc tout cacher des soumissions reçues en empêchant les auteurs de parler et donc d’être crédités, et au public d’être mis en garde.
Ca ne passe simplement pas chez nous.
Dans l’histoire c’est quand même DJI qui fixe les règles, soit on joue le jeu et on les acceptes toutes et entièrement soit on va voir ailleurs. Après si dji ne respecte pas ses propres règles c’est problématique… Est-ce bien le cas ici ?
DJI a lancé le programme avant d’avoir annoncé les règles complètes. Les gens ont commencé à participer en s’attendant à quelque chose de « normal », ensuite DJI est venu avec des conditions inacceptables. Les participants ont donc préféré se retirer en lançant un gros bras d’honneur (d’où le foin actuel) au lieu de se plier.
C’est un peu stupide de la part de DJI de jouer au con avec les hackers ça va finir par leur retomber sur la gueule
@ bleep:
ben non justement, puisque l’armada de juristes / avocats de DJI risque de se retourner contre le hacker récalcitrant en annonçant qu’il a usé de moyens « frauduleux » pour y parvenir, et que du coup c’est préjudiciable, blablabla…
Bref, je ne suis pas spécialiste en droit, mais je constate simplement que ces hackers finissent condamnés, même s’il s’agit de sursis, face à des entreprises / GIEs…