Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Clés de sécurité et identifiants AWS en accès libre pour le constructeur de drones DJICrédits : PeopleImages/iStock

C'est l'un de ces problèmes de sécurité à peine croyables par son ampleur. Le constructeur chinois DJI a ainsi laissé en accès libre pendant deux à quatre ans un lot de données très précieuses. Le chercheur Kevin Finisterre explique dans son rapport que les clés du nom de domaine, la clé privée de chiffrement AES pour les firmwares et des identifiants Amazon Web Services étaient disponibles sur le dépôt GitHub de l'entreprise.

Si le chercheur a publié un rapport, c'est que DJI aurait argué d'un problème de forme dans la demande débouchant normalement sur les 30 000 dollars de récompenses, le constructeur ayant son propre bug bounty. DJI a indiqué que les certificats avaient été révoqués et les identifiants changés. Ce qui ne résout pas nécessairement tous les soucis de sécurité dans l'immédiat.

Le constructeur ne sort pas grandi de cette histoire. Outre l'ampleur du défaut de sécurisation, le chercheur explique avoir été menacé pendant la négociation de la récompense. DJI l'aurait traité de « pirate », évoquant une éventuelle plainte pour violation de la loi américaine CFAA (Computer Fraud and Abuse Act).

L'entreprise estime pour sa part que le chercheur n'a tout simplement pas voulu suivre les règles de son programme de chasse aux bugs.

3 commentaires
Avatar de Minikea INpactien
Avatar de MinikeaMinikea- 20/11/17 à 10:03:28

Le constructeur ne sort pas grandi de cette histoire.
c'est peu de le dire.

Avatar de Krogoth Abonné
Avatar de KrogothKrogoth- 20/11/17 à 10:04:36

Faire le difficile pour reverser la récompense?? Pas sur que le programme bug bounty de DJI fonctionne bien...

Avatar de V_E_B Abonné
Avatar de V_E_BV_E_B- 20/11/17 à 10:26:46

Ils ont pris exemple sur le remboursement de la RCP aux professionnels en France :francais:
"Si vous sacrifiez votre premier né un soir de pleine lune au sommet de l'Himalaya en chantant l'intégrale de Jul avec un poireau dans le nez, on vous fournit un ticket restaurant presque périmé. Une affaire !"

Il n'est plus possible de commenter cette actualité.