DJI : « vos données ne nous regardent pas »
La note émise par le Department of Homeland Security américain (DHS), accusant les drones d’être des espions potentiels, a été prise très au sérieux par le constructeur DJI, leader du marché. Il faut dire que ce document a été diffusé dans un contexte difficile, juste après que le président Donald Trump ait signé un décret contre la marque Huawei (voir ici). 
DJI a répondu officiellement aux accusations du DHS dans un post publié sur le DJI Hub. Son titre ? « Your Data Is Not Our Business ». C’est-à-dire « Vos données ne nous regardent pas »…
Que faut-il en retenir ?
Les inquiétudes du DHS sont directement visées, et le constructeur n’est pas dupe : il s’agit d’une guerre commerciale plus que de réelles failles dans la sécurité de données. « Contrairement à ce que certaines parties peuvent choisir de croire, les données de nos clients ne nous appartiennent pas. Nous fournissons une plateforme de drones fiable. Nous ne sommes pas intéressés par la capture ni par la vente des données de clients à des fins publicitaires ». DJI n’aborde pas les inquiétudes du DHS concernant d’éventuelles remontées d’informations vers le gouvernement chinois, mais indique que les clients de la marque « ont le contrôle de leurs données », et que « la sécurité de leurs données est entre leurs mains ».
5 recommandations
Le constructeur indique 5 suggestions pour verrouiller la sécurité des données captées avec ses drones.
1) Désactiver la connexion Internet pendant les vols, en passant en mode Avion.
Note : cette méthode ne permet pas de verrouiller les données sur le smartphone, puisqu’elles peuvent être envoyées sur les serveurs de DJI à la prochaine connexion du logiciel DJI GO 4 sur Internet.
2) Etre prudent en installant les mises à jour de logiciels ou de firmwares
Note : cette recommandation n’est pas très claire. DJI indique que toutes ses mises à jour sont testées et sécurisées avant d’être diffusées – ce qui laisse supposer qu’il est possible de les installer les yeux fermés. Pourtant le constructeur invite tout de même à être « prudent »…
3) Retirer la carte mémoire du drone et de la radiocommande quand l’appareil n’est pas utilisé.
4) Effacer les données de la carte mémoire du drone (ou sa mémoire interne) après chaque vol
5) Crypter et protéger les données par un mot de passe
Note : le cryptage des données est opéré en AES-256 sur les appareils équipés d’OcuSync 2.0. Les autres ne disposent pas de moyens de cryptage robustes. A noter que la protection des données par mot de passe n’est pour le moment disponible que sur des appareils récents et destinés aux professionnels comme les Mavic 2 Entreprise et Mavic 2 Enterprise Dual.
Ce que on en pense ?
Est-ce que les efforts de DJI pour démontrer la sécurité de leurs appareils et des logiciels qui les exploitent seront suffisants pour convaincre le DHS (et Donald Trump) ? Pas sûr, puisque le rapport commandé par DJI et réalisé par un cabinet indépendant, ayant conclu à l’innocuité des appareils de la marque (voir ici), ne semble pas avoir convaincu…
Source : DJI Hub
Ils le disent clairement : « Nous ne sommes pas intéressés par la capture ni par la vente des données de clients à des fins publicitaires »
Ils ne disent pas « Vos données ne peuvent pas être vendues/utilisées pour constituer une base de données conséquentes permettant d’analyser vos comportements ».
Ni même, avec la loi sur le renseignement national de la Chine : « Vos données ne peuvent pas être soumises à une demande de divulgation de la part des autorités nationale chinoise compétentes »
Bref, le vocabulaire est important, et certainement pas anodin dans ce genre de situation.
Non non … promis juré …. vos données ne nous regardent pas !! mais par contre, nous, nous les regardons avec beaucoup, mais alors vraiment beaucoup d’attention !!!!! c’est tout !!!
il serait tellement plus simple de ne pas brancher l’appareil (smart-phoe ou tablette) sur le net.
En d’autres mots pas de connection wifi. Et tout effacer avant de faire une mise à jour des programmes DJI ou d’utiliser la wifi.
Le souci Jean Luc, c’est que tu vas avoir besoin de fonds cartographiques, de faire des mises à jour obligatoire de temps à autre, etc …… et donc la connexion internet sera un jour ou l’autre incontournable, quand à la solution de tout virer avant de se connecter …. c’est quasiment impossible de faire un ménage complet, sauf à y passer des heures et des heures et même …… d’être un très fin connaisseur du système pour être sûr que rien ne resterait « accidentellement » planqué quelque part.
En même temps on ne peut pas leur jeter la pierre de débiter les même formules pour naïfs que le maître en la matière, l’américain Apple. Ca permet de bien montrer que ce n’est qu’un prétexte dans la guerre commerciale que mènent les ricains et au passage ça fait toujours plaisir aux clients les plus crédules. En réalité le problème est ailleurs. Ces entreprises se contrefoutent de vos données personnelles autant que Trump, elles veulent juste conserver leurs marges et leurs volumes, par tous les moyens. Ceci étant dit je rejoints Bben sur le fait que les promesses d’une boite qui dépend d’une dictature, ben ça vaut rien.
Fab : je ne suis pas certain que ces boites se fichent à ce point de nos données perso ……. elles ont tellement de valeur (à très grande échelle bien sûr, sur des centaines de millions de personnes) que c’est justement ce genre de business qui leur permet de dégager de très confortables marges !!!
Les ventes « physiques » ne représenteront plus grand chose en terme de marge d’ici quelques années …. (trop concurrentiel, trop cher d’entretenir réseau de distribution, etc …) mais la valeur ajoutée par la récupération des données est incomparable (demandez au patron de Facebook, d’Instagram ou de Google ….).
Par contre concernant les politiques, je partage tout à fait ton avis …… quels qu’ils soient, beaucoup trop c….. pour réellement saisir l’enjeu des données (leurs conseillers peut-être mais eux …… )