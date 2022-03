DJI : Il signale une faille, on le traite comme un pirate

Après lui avoir promis 30 000 dollars de récompense pour la découverte d'une faille de sécurité, le fabricant de drones DJI a menacé un chercheur en sécurité de représailles.

Le chercheur en sécurité Kevin Finisterre pensait pouvoir tirer profit du programme Bug Bounty lancé par l'entreprise chinoise DJI en août dernier. Pour rappel, ce type de programme vise à sécuriser des services et des produits en récompensant des chercheurs pour la découverte de vulnérabilités. L'expert a finalement renoncé aux 30 000 dollars, soit la prime la plus importante, que l'entreprise chinoise lui avait promis pour le signalement d'une faille, a-t-il raconté dans un long billet racontant sa mésaventure.

«Pas moins de quatre avocats m'ont dit de différentes manières que l'accord était non seulement extrêmement risqué pour moi, mais a probablement été conçu de mauvaise foi pour faire taire tout signataire potentiel», ajoute-t-il. Après avoir tenté de le faire modifier, les choses ont même empiré. Dans une nouvelle lettre, DJI l'aurait traité de «pirate» et menacé de porter plainte en vertu de la loi sur la fraude et l'abus informatique (CFAA). Entre-temps, la firme a annoncé avoir révoqué les certificats et les identifiants exposés sur GitHub.