Sécurité matérielle et logicielle : Parrot et YesWeHack lancent un programme Bug Bounty
Le constructeur français Parrot s’est associé avec la plateforme européenne de sécurité YesWeHack pour lancer un programme de surveillance des vulnérabilités potentielles de ses drones, de ses applications mobiles et de ses services en ligne. Le Bug Bounty fonctionne sur le principe du crowdsourcing : il repose sur une communauté d’experts capables de détecter des failles matérielles et logicielles. Les découvertes sont récompensées en fonction de la gravité des vulnérabilités et de la qualité des rapports de bugs.
Deux phases
Le programme Bug Bounty de Parrot et YesWeHack sera dans un premier temps réservé à une sélection de chercheurs, avant la commercialisation de nouveaux produits. La seconde phase ouvrira le programme à un accès public pour la communauté YesWeHack, riche de 22 000 chercheurs en sécurité informatique. Victor Vuillard, directeur sécurité et CTO cybersecurity du groupe Parrot, est confiant dans la méthode : « Après l’intégration de la cybersécurité dès la phase initiale de conception des drones Parrot, le Bug Bounty lancé avec YesWeHack vient compléter les audits et apporte une étape supplémentaire de contrôle. En cas de défaut, la communauté de chercheurs en cybersécurité de YesWeHack viendra le détecter et permettra à Parrot de le corriger, avant que des vrais attaquants ne puissent en faire un mauvais usage ».
Le nerf de la guerre
Le constructeur DJI avait lancé son programme Bug Bounty en 2017 (voir ici). L’initiative avait été critiquée pour son obligation de réserve par les chasseurs de primes en cas de découverte d’une faille, mais DJI a persévéré et revu le programme avec des primes à la hausse en 2020 (voir ici). Cette recherche de vulnérabilité sera l’un des chevaux de bataille des constructeurs des années à venir. Les drones s’intègrent dans des systèmes d’informations complexes, avec la capture et de stockage de données potentiellement sensibles. La multiplication des liaisons de type 5G viendra encore faciliter l’échange de données. La sécurité des outils de communication et du stockage sera donc primordiale. Les constructeurs devront par ailleurs exceller dans ce challenge important qui consiste à assurer une communication convaincante sur le sujet, à l’adresse des militaires, des industriels, et du grand public.
Source : Parrot
Est ce que ce n’est pas qu’un effet d’annonce liée au programme BlueUAS ? Il me semble que sur la gamme Anafi, ils ont déjà fait des annonces comme quoi ils ont fait des audits de sécurité.
Après avec la compatibilité MAVLink, je pense que ça va être sympa qu’en ils vont voir les failles potentiels ;-P
C’est bien ,maintenant c’est comme les systèmes anti-drone ,faudrait faire des concours avec thune a la clé ! L’aviation dans les années 20-30 ont évolué grâce a cette méthode là !