Catégories
Drones & Tech

DJI dit que les affirmations concernant la sécurité des applications sont trompeuses

DJI en a clairement marre du barrage de rapports récents mettant en cause leur sécurité; dont certains ne se donnent même pas la peine de bien comprendre les faits. Le dernier rapport de Synacktiv remet en question la sécurité de l'application DJI Pilot: mais DJI a publié une déclaration soulignant les problèmes d'un rapport rédigé par une entreprise qui ne connaît pas les drones et ne semble pas comprendre le fonctionnement de fonctionnalités telles que le géorepérage.

Si la réponse semble parfois frustrante, il est difficile de blâmer le plus grand fabricant mondial. DJI fait la une des journaux et tous les rapports sur la sécurité de leurs applications sont généralement bien diffusés. Le rapport de la société de sécurité française Synacktiv sur l'application DJI Go a été couvert par le New York Times: après quoi ils ont rapidement lancé une deuxième analyse de l'application Pilot. L'analyse par des entreprises à but lucratif peu familiarisées avec la technologie des drones devrait cependant être comme n'importe quel autre titre de nos jours – prise avec le grain de sel proverbial. Supprimer la perception des problèmes de sécurité peut être plus difficile que de semer le doute: les utilisateurs de DJI doivent examiner chaque point attentivement par eux-mêmes.

Le texte intégral de la réponse de DJI est ci-dessous.

Déclaration de DJI sur d'autres allégations trompeuses concernant la sécurité des applications

Le rapport d’aujourd’hui de la société de sécurité numérique Synacktiv sur le logiciel DJI contient d’autres inexactitudes et des déclarations trompeuses sur le fonctionnement de nos produits, à la suite de rapports similaires de leur part la semaine dernière. Nous souhaitons préciser que les produits DJI protègent les données des utilisateurs; que DJI, comme la plupart des éditeurs de logiciels, met continuellement à jour ses produits au fur et à mesure que des vulnérabilités réelles et perçues se font jour; et qu'il n'y a aucune preuve que l'une des vulnérabilités hypothétiques signalées par Synacktiv ait jamais été exploitée. Dans cet article, nous abordons le nouveau rapport de Synacktiv.

Fausse déclaration de Synacktiv concernant le SDK Weibo

L'application DJI Pilot pour Android disponible à la fois sur le site Web de DJI et sur le Google Play Store n'intègre pas de kit de développement logiciel (SDK) pour se connecter à Weibo. Cette affirmation de Synacktiv est fausse. En fait, aucune version de l'application DJI Pilot n'a de fonction permettant aux utilisateurs de partager des données avec Weibo.

Allégations trompeuses de Synacktiv concernant les mises à jour automatiques de DJI Pilot

L'application DJI Pilot pour Android disponible sur le Google Play Store ne met à jour que les versions officielles téléchargées depuis le Google Play Store. L'utilisateur est invité à mettre à jour dans une fenêtre contextuelle et l'application ne se mettra pas à jour à moins que l'utilisateur ne l'accepte. Pour les clients qui exploitent nos produits dans des pays où le Google Play Store n'est pas disponible, l'application et les mises à jour de l'application sont disponibles sur notre site Web. Le titre, le résumé et la première moitié du rapport de Synacktiv sont intentionnellement trompeurs car ils ne parviennent pas à noter que ce mécanisme est limité à la version du site Web de l'application DJI Pilot uniquement, et n'affecte pas quiconque obtient l'application DJI Pilot de Google Play boutique.

Compréhension incomplète de Synacktiv du système de géorepérage de DJI

L'application DJI Pilot comprend une fonctionnalité appelée Mode de données locales qui permet à l'utilisateur de couper la connexion à Internet dès que le paramètre est activé dans l'application. En plus d'améliorer l'assurance de la sécurité des données, cette fonctionnalité bloque la capacité du drone à mettre à jour les restrictions de sécurité des vols et bloque la capacité de l'utilisateur à «déverrouiller» certaines zones géo-clôturées. Cependant, Synacktiv semble mal comprendre la fonction du système de sécurité de géorepérage de DJI et les nombreuses autres méthodes disponibles pour le déverrouillage des clients. Par exemple, les agences gouvernementales peuvent participer à notre programme d'entités qualifiées qui déverrouille toute la région qu'elles demandent, sans avoir besoin de se connecter à Internet après l'activation initiale. De plus, nos drones Government Edition n'ont pas du tout de géorepérage. Les utilisateurs de DJI comprennent ces limitations et planifient à l'avance quand et comment débloquer les restrictions de vol de géorepérage, si nécessaire.

Comme pour les mises à jour automatiques, ces fonctionnalités sont mises en œuvre à des fins qui profitent au public en améliorant la sécurité de l'espace aérien lors de l'utilisation de nos produits. Le rôle important du géorepérage en matière de sécurité a été reconnu par le Drone Advisory Committee de la Federal Aviation Administration (FAA) des États-Unis; le Groupe de travail conjoint du Conseil international des aéroports-Amérique du Nord et de l'Association for Unmanned Vehicle Systems International Blue Ribbon sur l'atténuation des aéroports; et l'équipe conjointe de sécurité des aéronefs sans pilote FAA-industrie. Aucune autre entreprise n'a fait autant que DJI pour améliorer de manière proactive la sécurité des opérations de drones. Nous sommes consternés que les caractéristiques de sécurité aient de nouveau été mal comprises et interprétées à tort comme des menaces de sécurité hypothétiques par des chercheurs qui ne sont manifestement pas familiarisés avec le fonctionnement de la technologie des drones.

DJI a immédiatement résolu les problèmes signalés précédemment

Alors que le rapport initial exagéré et trompeur de Synacktiv sur la sécurité a été cité dans le New York Times, un examen sérieux de leur travail montre qu’il n’est pas à la hauteur. DJI a rapidement mis à jour l'application Android DJI GO 4 le 31 juillet pour répondre aux préoccupations hypothétiques précédemment notées par Synacktiv à propos de l'application DJI GO 4, en supprimant le SDK Weibo et en dirigeant les mises à jour automatiques liées à la sécurité vers le Google Play Store plutôt que vers notre site Web.

DJI reste le seul fabricant de drones à avoir évalué avec succès ses produits dans des rapports accessibles au public par plusieurs institutions gouvernementales et privées indépendantes. DJI reste également le seul fabricant de drones à avoir créé un programme Bug Bounty pour solliciter activement une divulgation responsable des vulnérabilités de sécurité et rémunérer les chercheurs qui les trouvent.

Pour plus de détails sur les protections de sécurité robustes de DJI, veuillez vous référer à notre réponse aux allégations originales sur ce lien: https://www.dji.com/newsroom/news/dji-statement-on-recent-reports-from-security- des chercheurs

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *