Après la découverte d’un plugin gourmand en données personnelles, le constructeur de drones ouvre un programme de bug bounty, récompensant les chercheurs lui révélant les failles de ses logiciels de primes pouvant monter à 30 000 dollars.
DJI a récemment découvert qu’un des plugin tiers qu’il utilisait, JPush, était du genre indiscret. Cette extension ajoutée en 2016 à ses applications Android et iOS servait à pousser des notifications lorsqu’une vidéo était téléchargée sur la plateforme de partage SkyPixel. Sauf qu’elle en profitait pour collecter et envoyer à l’éditeur du plugin des « paquets de données externes », incluant la liste des applications installées sur l'appareil de l'utilisateur, sans son consentement.
Le constructeur chinois fait savoir que suite à cette découverte par ses équipes et des chercheurs externes, le plugin incriminé a été supprimé des applications par une mise à jour. « DJI continuera d'examiner d'autres plugins et services tiers dans DJI GO et DJI GO 4 et s'engage à étudier en profondeur tous les nouveaux plugins tiers avant de les adopter […] et à supprimer ceux causant des problèmes de sécurité ou d'intégrité du logiciel ».
Conséquence de ce fâcheux incident pour le constructeur de drone, DJI lance un programme de bug bounty, très à la mode depuis l’an dernier. Dans un communiqué, le Chinois explique ne jamais avoir « offert des canaux de communication formels sur les problèmes de logiciels aux chercheurs en sécurité » et vouloir que cette situation change. D’où ce Threat Identification Reward Program.
Limiter la fuite des données des utilisateurs
Le programme de chasse aux bugs de DJI vise en priorité les vulnérabilités touchant aux données personnelles des utilisateurs, à leurs photos et vidéos et aux journaux de vols de leurs drones. Evidemment les bugs entaînant des crashs de l’application ou affectant la sécurité des vols sont également concernés. Mais la question des données personnelles est une préoccupation particulière de DJI, fréquemment accusé d’être une véritable passoire.
Les récompenses iront de 100 à 30 000 dollars, selon la sévérité du bug découvert. Pour l’heure, les chercheurs devront se contenter d’envoyer leurs rapports par mail, mais DJI assure développer un site web détaillant les termes du programme et proposant « un formulaire normalisé pour signaler les menaces potentielles liées aux serveurs, aux applications ou au matériel DJI ».