DJI : « prenez connaissance des faits » (selon DJI)

Le constructeur DJI fait face à des attaques frontales dans plusieurs pays, notamment aux Etats-Unis où ses drones sont désormais interdits dans les administration, suite à la signature de l’« American Security Drone Act of 2023 » par Joe Biden (voir ici). En France, de nombreuses voix critiquent DJI, notamment les dirigeants de Parrot (voir ici dans cette vidéo de Gautier Veltri). Pour répondre à ses accusateurs, DJI a publié un post sur son site Viewpoints.

Pour forger votre propre opinion…

Je vous en livre la traduction intégrale de ce post, en français pour que vous puissiez bien comprendre les arguments du constructeur. Pour remettre ce post dans son contexte, il fait suite aux décisions des Etats-Unis et contient des mentions aux soucis rencontrés par DJI en Amérique du Nord, mais le développement est intéressant d’un point de vue européen. Et français !

« DJI accorde la plus haute priorité à la confidentialité des données et permet aux clients de contrôler l’utilisation de leurs données.

Nos fabricants de drones rivaux attisent la xénophobie pour éliminer la concurrence sur le marché. Nous vous demandons de regarder les faits : DJI adopte déjà les normes décrites dans la récente note du FBI. En effet, de nombreuses agences et entreprises utilisent également ces normes lorsqu’elles utilisent des drones DJI.

FAIT N°1 : DJI a créé le marché des drones civils et commerciaux prêts à voler il y a près de deux décennies et a investi massivement dans des protections de sûreté et de sécurité robustes ainsi que dans des contrôles étendus de la confidentialité des utilisateurs pour nos produits.

FAIT N°2 : Les clients ne partagent avec nous des journaux de vol, des images ou des vidéos que s’ils choisissent de le faire. La collection par défaut n’existe pas chez nous.

FAIT N°3 : Les opérateurs de nos drones grand public et d’entreprise peuvent choisir de « voler hors ligne » via le mode de données locales, garantissant ainsi qu’aucune personne non autorisée ne puisse accéder aux données de leur drone.

FAIT N°4 : Depuis 2017, nous soumettons régulièrement nos produits à des audits de sécurité et à des certifications tiers. Ces experts américains et européens en cybersécurité achètent nos produits dans le commerce et effectuent leurs essais de manière indépendante. Leurs conclusions confirment que nous offrons les meilleures protections en matière de sécurité des données et de confidentialité.

Ainsi, malgré les stratagèmes géopolitiques déguisés de nos concurrents pour nous éliminer du marché, DJI ne dispose tout simplement pas des données qu’ils prétendent que nous avons.

---

Le saviez-vous ?

En 2022, le DJI Core Crypto Engine, qui sert à sécuriser les drones de DJI, a obtenu la certification NIST FIPS 140-2 qui a été formellement validée par les gouvernements américain et canadien. Cette certification est largement adoptée dans le monde entier dans les secteurs gouvernementaux et non gouvernementaux comme référence de sécurité pratique et est délivrée aux produits présentant un niveau de sécurité élevé et conforme aux normes de sécurité industrielles et réglementaires.

DJI FlightHub 2 a également récemment reçu la certification ISO 27001, délivrée par la British Standards Institution (BSI), qui valide sa conformité aux normes de gestion de la sécurité de l’information.

---

Clarifier les idées fausses autour de DJI et des lois sur l’accès aux données à l’étranger

Comme d’autres sociétés technologiques mondiales, DJI peut être tenue de divulguer certaines informations conformément aux lois et réglementations locales dans lesquelles nous exerçons nos activités. Par exemple, DJI peut avoir besoin de divulguer des informations si cela est nécessaire en réponse à une ordonnance d’un tribunal local, à une assignation à comparaître judiciaire ou autre gouvernement, à un mandat ou à une demande exécutoire.

Dès réception d’une telle commande, la politique de DJI est d’examiner la demande pour vérifier si elle répond aux exigences légales en matière de divulgation. Une partie de cette exigence est que la divulgation n’inclura que les données qui ont été partagées avec DJI dans la juridiction nationale de l’agence gouvernementale qui en fait la demande.

Cela s’applique uniquement aux données auxquelles DJI a accès – comme nous l’avons dit plus tôt : DJI ne collecte pas de journaux de vol, de photos ou de vidéos par défaut. Les opérateurs qui souhaitent prendre des précautions supplémentaires peuvent facilement choisir d’activer le mode données locales (et même activer le « mode avion » de leur mobile) pour plus de tranquillité d’esprit. Cela signifie que le drone est complètement déconnecté d’Internet et ressemble à un ordinateur isolé.

Les drones DJI se conforment aux meilleures pratiques de cybersécurité

DJI s’aligne sur l’appel du gouvernement américain aux opérateurs de drones pour qu’ils pratiquent une bonne hygiène de sécurité et effectuent des examens et des formations régulièrement pour garantir que leurs protocoles restent à jour avec les normes de l’industrie.

Nous avons répertorié ci-dessous des détails supplémentaires sur la manière dont DJI met en œuvre – et dans certains cas dépasse même – les directives énoncées dans la note du gouvernement :

• Au-delà du mode données locales, les opérateurs de drones DJI Entreprise ont la possibilité de mettre à jour leur flotte de drones DJI tout en restant hors ligne. Cela donne aux opérateurs la possibilité de procéder à un examen de sécurité des dernières mises à jour du firmware ou des cartes géographiques avant de les utiliser pour mettre à jour leurs drones.
• Les opérateurs de drones DJI Enterprise ont la possibilité d’éviter complètement d’utiliser l’application de vol de DJI et de choisir parmi une gamme de fournisseurs de logiciels américains. Les opérateurs peuvent également choisir de déployer leur propre cloud privé via l’API Cloud de DJI et de gérer une vue complète de leurs opérations et de leur sécurité.
• DJI met déjà en place des procédures robustes de cryptage et de stockage des « données au repos » et des « données en transit » afin de garantir la confidentialité et l’intégrité des données collectées par nos drones. Par exemple, les opérateurs de drone DJI Enterprise peuvent crypter leurs données multimédias stockées sur le drone avec un mot de passe sécurisé. Le déchiffrage ne peut être effectué par aucun tiers, y compris DJI.
• Notre pratique standard consiste toujours à protéger toutes les données transmises par le drone avec le chiffrage AES-256 et si elles sont partagées de manière proactive par les utilisateurs avec DJI, elles sont stockées sur des serveurs américains.
• DJI permet une suppression rapide et facile des données des drones grâce à ses fonctions « Reset all » (pour les drones grand public) ou « Log One-Click Deletion » (pour les drones d’entreprise).

Ce ne sont là que quelques exemples de la manière dont DJI met déjà en œuvre ses recommandations en matière de cybersécurité. Ce qui échappe à notre contrôle, ce sont les politiques de cybersécurité basées sur le pays d’origine qui posent problème à l’industrie car elles reposent sur des fondements politiques et protectionnistes – plutôt que sur des normes industrielles basées sur la technologie.

DJI continuera de plaider en faveur du développement d’une norme technologique claire pour la sécurité des drones à laquelle tous les fabricants de drones devraient adhérer, quel que soit leur pays d’origine. Cela améliorera la sécurité globale des drones et des données et profitera à l’industrie et à sa communauté d’utilisateurs finaux dans son ensemble ».

Source : DJI Viewpoints
Crédits photos : DJI