Le hacker remporte le jackpot : DJI ne sait pas ses erreurs.
DJI a prévu de verser 30 000 dollars à Sammy Azdoufal pour sa découverte concernant les flux vidéo de 7 000 robots à travers le monde. La marque a confirmé avoir corrigé la faille permettant de voir ces flux vidéo sans code PIN dès la fin février, tout en indiquant qu’il faudra encore un bon mois pour mettre à jour l’intégralité du système.
On peut affirmer que la Saint-Valentin de Sammy Azdoufal a été fructueuse. Rappelons que ce chercheur, en tentant de modifier son robot aspirateur **DJI Romo** avec une manette de PlayStation, avait découvert une véritable mine d’or : il avait accès aux flux vidéo en direct de 7 000 robots dans le monde. Aujourd’hui, il est annoncé que DJI va lui verser **30 000 dollars** pour sa découverte.
Cette somme est conséquente, mais elle marque surtout un changement radical dans l’attitude de DJI. En effet, l’entreprise n’a pas la réputation d’être bienveillante envers les chercheurs en sécurité.
En 2017, une situation similaire avait abouti à des menaces juridiques au lieu de récompenses. Cette fois-ci, il semble que la pression médiatique, notamment celle de *The Verge*, ait incité le géant des drones à adopter une approche plus pragmatique.
DJI a besoin de regagner la confiance. Lorsqu’un robot patrouille dans les maisons des utilisateurs, la moindre faille de sécurité peut devenir un atout pour les concurrents. En attribuant cette prime de « bug bounty », DJI admet implicitement que sa protection était, pour le moins, défaillante.
**Un correctif à deux vitesses**
Le problème réside dans la communication officielle de DJI, qui semble jouer sur les mots. Bien que la marque confirme avoir corrigé la vulnérabilité exposant les flux vidéo sans code PIN d’ici fin février, il subsiste des zones d’ombre. DJI indique dans un billet de blog que « tout est résolu », mais a admis en interne qu’il faudra encore un mois supplémentaire pour mettre à jour l’ensemble du système.
Le plus intriguant dans cette affaire, c’est l’outil employé par Azdoufal. Le chercheur a révélé avoir utilisé **Claude Code**, l’outil de programmation par IA d’Anthropic, pour l’assister dans l’exploration du logiciel de DJI.
DJI défend sa position en mettant en avant ses certifications européennes et américaines (ETSI, UL). Cependant, ces labels semblent peu significatifs lorsqu’une faille aussi grave passe inaperçue. Cela illustre une fois de plus que les audits de sécurité « sur papier » ne remplacent jamais les tests en conditions réelles réalisés par des chercheurs indépendants.
