du 20 novembre 2017
Date

Choisir une autre édition

Clés de sécurité et identifiants AWS en accès libre pour le constructeur de drones DJI

C'est l'un de ces problèmes de sécurité à peine croyables par son ampleur. Le constructeur chinois DJI a ainsi laissé en accès libre pendant deux à quatre ans un lot de données très précieuses. Le chercheur Kevin Finisterre explique dans son rapport que les clés du nom de domaine, la clé privée de chiffrement AES pour les firmwares et des identifiants Amazon Web Services étaient disponibles sur le dépôt GitHub de l'entreprise.

Si le chercheur a publié un rapport, c'est que DJI aurait argué d'un problème de forme dans la demande débouchant normalement sur les 30 000 dollars de récompenses, le constructeur ayant son propre bug bounty. DJI a indiqué que les certificats avaient été révoqués et les identifiants changés. Ce qui ne résout pas nécessairement tous les soucis de sécurité dans l'immédiat.

Le constructeur ne sort pas grandi de cette histoire. Outre l'ampleur du défaut de sécurisation, le chercheur explique avoir été menacé pendant la négociation de la récompense. DJI l'aurait traité de « pirate », évoquant une éventuelle plainte pour violation de la loi américaine CFAA (Computer Fraud and Abuse Act).

L'entreprise estime pour sa part que le chercheur n'a tout simplement pas voulu suivre les règles de son programme de chasse aux bugs.

chargement Chargement des commentaires...