LOADING

Recherche

Parrot lance son programme de bug bounty

Partager

Parrot part à la chasse aux bugs. En partenariat avec YesWeHack, le droniste français a lancé la semaine dernière un programme de bug bounty pour détecter les vulnérabilités au sein de sa gamme de drones, d’applications et de services.

Un plan en deux phases

Tout est dans le nom. Derrière cette « chasse aux bugs » se cache l’engagement de hackers rémunérés pour chaque bug repéré dans un logiciel, sur un site internet et autres applications mobiles. Le principe, désormais bien ancré dans les mœurs du secteur privé, devait forcément finir par intéresser Parrot.

En s’associant avec la première plateforme française de sécurité crowdsourcée, Parrot souhaite identifier « les vulnérabilités potentielles de ses drones, applications mobiles et WebServices ». En pointe sur la sécurisation des données, le groupe français s’était rapproché en juillet 2020 de WISeKey pour intégrer de nouveaux modules de sécurité VaultIC4xx dans sa gamme de drones ANAFI. Cotée au Nasdaq, cette entreprise suisse effectue la majorité de ses activités de R&D dans le sud de la France, à Meyreuil (Bouches-du-Rhône).

Ce programme de bug bounty se déroulera en deux phases. La première se concentrera sur les programmes privés et sera réservée aux chercheurs en cybersécurité sélectionnés par Parrot. À charge de ceux-ci de détecter d’éventuelles failles sur les futurs produits en amont de leur commercialisation.

Après avoir été commercialisés, ces produits intégreront un programme public. Leur sécurité pourra cette fois être scrutée par l’ensemble des 22 000 chercheurs formant la communauté YesWeHack, permettant d’entrer dans une phase d’audit continu.

« En cas de défaut, la communauté de chercheurs en cybersécurité de YesWeHack viendra le détecter et permettra à Parrot de le corriger, avant que des vrais attaquants ne puissent en faire un mauvais usage », assure Victor Vuillard, ancien responsable de la cybersécurité pour la division ingénierie nucléaire d’EDF devenu directeur sécurité et CTO Cybersecurity de Parrot.

BASEX 2021-01, exercice NEDEX faisant intervenir l’équipe de reconnaissance NEDEX, l’ESIS, la BGA et un télépilote de l’EP équipé d’un drone ANAFI Thermal sur la BA 133 de Nancy-Ochey, le 11 mars 2021 (Crédits photo : Caroline Séry/Armée de l’Air et de l’Espace)

Au bénéfice, aussi, des Armées ?

Les résultats de cette chasse pourraient également profiter au ministère des Armées, dont tant YesWeHack que Parrot sont des partenaires de longue date. Le premier avait été retenu en 2019 par le Commandement de la cyberdéfense (COMCYBER) pour le soutien d’un bug bounty mené en interne. L’exercice a été réédité en juillet 2020, toujours avec l’aide de YesWeHack. Les « chasseurs » avaient alors fait remonter un total de 130 rapports au COMCYBER.

Le second a été notifié en janvier 2021 par la Direction générale de l’armement (DGA) pour la livraison de drones ANAFI USA au profit de l’ensemble des forces armées. Cet accord-cadre, conclu pour une durée de cinq ans, s’est matérialisé par une première commande de 150 systèmes à deux vecteurs pour environ 30 M€. Les premières livraisons interviendront au mois de juin.

Le principal bénéficiaire sera l’armée de Terre, qui devrait priori percevoir 60% du volume global. Ses régiments devraient à terme opérer un parc de 529 micro-drones. Ces systèmes seront déployés à l’échelon de la compagnie, quand les nano-drones Black Hornet 3 le sont au sein d’une section.

D’autres modèles de la gamme Parrot sont déjà en usage ou dans le collimateur des Armées. Le mois dernier, un drone ANAFI Thermal était ainsi testé par l’escadron de protection de la base aérienne 133 de Nancy-Ochey. Un outil acquis un mois plus tôt dans le cadre du plan d’action « Air fusco combat 2025 » de la brigade des forces spéciales air (BFSA). L’an dernier, le Commandement des forces terrestres émettait quant à lui un besoin pour l’acquisition de 30 kits ANAFI SE, un projet dont la finalité n’avait pas été détaillée.

Tags:

Laisser un commentaire

Your email address will not be published. Required fields are marked *