30 000 dollars de récompense pour la découverte de failles dans les logiciels DJI
mar, 29/08/2017 - 15:13
Ce n'est pas parce qu'on fabrique des drones que l'on accepte de se faire voler. C'est pourtant ce qui est arrivé au fabricant chinois DJI.
Pire, ses clients se sont faits voler malgré lui des données personnelles. Pour ses applications Android, DJI utilisait des composants logiciels tiers, et il s'est avéré que ces composants volaient des données sur les smartphones Android, pour les envoyer vers un serveur de l'éditeur.
DJI fait son mea culpa dans un billet expliquant avoir fait le ménage après avoir découvert la situation.
Le constructeur ne s'arrête pas là et souhaite renforcer la sécurité de ses logiciels. Pour cela, il ouvre un bug bounty.
"Les chercheurs en sécurité, les universitaires et les experts indépendants fournissent souvent un service précieux en analysant le code dans les applications [...] DJI veut apprendre de leurs expériences car notre entreprise s'efforce constamment d'améliorer ses produits et nous sommes prêts à payer des récompenses pour les découvertes qu'ils font" explique le constructeur.
Le programme de récompenses vise à découvrir des problèmes pouvant créer des menaces pour l'intégrité des données privées des utilisateurs de drones, telles que leurs informations personnelles ou les détails des photos, des vidéos et des journaux de vol qu'ils créent. Le programme recherche également des problèmes pouvant causer des collisions ou crashes d'appareils ou affecter la sécurité des vols.
Les récompenses vont de 100 à 30 000 dollars, en fonction de l'impact potentiel de la menace.