Pour Parrot, la cybersécurité est un devoir et un atout concurrentiel
Le fabricant de drones Parrot adopte une approche security by design et privacy by design pour ses développements logiciels. Outre des audits, Parrot renforce la sécurité de ses produits via le recours à un programme de bug bounty.
Bien connu dans l’univers des drones civils, le constructeur Parrot faisait son entrée en 2017 sur le marché du B2B. Les usages des drones se multiplient dans différents secteurs afin, par exemple, de mener des inspections critiques dans l’industrie. Mais les applications résident également dans des environnements sensibles, régaliens, dont le militaire.
Ces grands clients se montrent particulièrement sensibles à la sécurité des drones, dont celle des couches logicielles sur lesquelles les drones s’appuient. Pour Parrot, la cybersécurité est donc un enjeu de marché, y compris sur le grand public, souligne Victor Vuillard, le directeur sécurité et CTO Cybersecurity du constructeur.
La cybersécurité : un « marqueur » concurrentiel
« La cybersécurité est pour nous une priorité. Elle n’est pas vécue au sein de l’entreprise comme une contrainte, mais une force », assure-t-il. Cet engagement se justifie donc par un recours croissant aux drones pour des usages sensibles. Mais c’est aussi un « marqueur » vis-à-vis de la concurrence, et en particulier du leader chinois DJI.
Par le biais de rétro-ingénierie, Synacktiv identifiait chez ce dernier l’utilisation de mécanismes cryptographiques permettant de dissimuler certaines pratiques, comme des transferts de données vers des serveurs en Chine. En opposition, Parrot s’efforce donc de s’affirmer comme un fabricant de drones de confiance et un acteur affichant un haut niveau de sécurité. Un paramètre critique pour des clients comme la DGA (Direction générale de l’Armement) en France ou le DoD (Department of Defense) aux États-Unis.
Sur le plan de la transparence, l’industriel met ainsi en avant l’usage de protocoles standards et de briques open source ouverts, donc, à des contrôles externes. Mais Parrot se soumet également à des audits tiers, à sa demande (via Bishop Fox aux États-Unis) et à celle de certains clients. Ces audits portent à la fois sur les WebServices et le logiciel de pilotage des drones.
Dans une logique de complémentarité avec les audits, Parrot décidait en avril dernier de la mise en place d’un bug bounty en partenariat avec YesWeHack. « La principale plus-value, c’est de permettre un audit par un plus grand nombre de chercheurs en sécurité, et potentiellement sur des éléments que nous n’aurions pas envisagé d’examiner », apprécie Victor Vuillard.
Précisons que le périmètre du Bug Bounty réalisé avec YesWeHack comporte quatre volets : le Web standard, avec le site Web et le site marchand ; les drones existants (logiciel du drone, l’application de pilotage et les WebServices) ; les drones en cours de conception et enfin les applications de sa filiale de conception de logiciels de modélisation Pix4D.
Le bug bounty complémentaire des audits
La première phase privée (ouverte à des chercheurs sélectionnés) des programmes de bug bounty a ainsi permis d’identifier « quelques » problèmes « d’une criticité notable » sur des composants hors du périmètre habituel des audits. Il s’agit par exemple d’anciennes versions logicielles. « Le chercheur en bug bounty va chercher tous azimuts. Et ces recherches conjointes par des dizaines de personnes produisent des résultats », précise encore le directeur sécurité.
Pour mener ces travaux, « la proximité et l’agilité » de YesWeHack, en comparaison de plateformes concurrentes comme HackerOne, avaient leur importance. Ces caractéristiques ont, par exemple, permis d’envoyer directement des prototypes de drones à des experts en sécurité triés sur le volet. « La flexibilité de YesWeHack a été primordiale. Ils nous ont accompagnés dans la définition du périmètre, dans le choix des chercheurs et dans l’identification de ceux disposant des bonnes compétences », tient à signaler Victor Vuillard.
Une première phase du bug bounty a été menée auprès de « dizaines de chercheurs ». Durant l’été et jusqu’à octobre sont venus s’ajouter « des lots de quelques dizaines de chercheurs » sur les différents programmes. Parrot réfléchit actuellement à l’ouverture en public du programme sur les drones existants. « C’est imminent à présent », confie le cadre du constructeur.
Ces audits de sécurité en crowdsourcing ont donc permis, à ce stade, « des remontées intéressantes », avec des « améliorations appréciables » à la clé. Aucune de significative, cependant, ne porte sur les drones. La gestion des remontées est traitée soit directement par les équipes, comme les développeurs de Pix4D, qui ont accès aux rapports, ou par l’intermédiaire du directeur sécurité, qui procède à un tri des retours des chercheurs.
Sécurité corrective et aussi intégrée dans les développements
« Certaines équipes ont un degré d’expertise moindre en cybersécurité et ont besoin de plus d’accompagnement pour leur expliquer le principe de l’attaque et la manière de corriger. C’est notamment cette philosophie qui s’applique sur la partie Web », détaille Victor Vuillard.
Victor VuillardCSO, CTO Cybersecurity, Parrot
Audit et bug bounty s’inscrivent cependant dans une approche réactive de la sécurité. Parrot embarque donc également la cybersécurité dans ses processus opérationnels. Cela se traduit par l’intégration de fonctionnalités de sécurité dans ses produits, comme le chiffrement des données du disque embarqué par le drone. C’est aussi, en matière de confidentialité, l’ajout en 2019 d’une fonction permettant aux clients de supprimer l’ensemble des données partagées avec Parrot.
Mais la sécurité doit aussi s’intégrer aux développements, « à tous les développements ». Pour cela, des opérations de sensibilisation ont été menées auprès des développeurs. Des outils et des processus interviennent aussi dans la sécurisation : analyse statique de code, revue du code à plusieurs (systématique pour toute mise à jour du firmware du drone), etc.
Au niveau de la supply chain, la sécurité peut également aller, en fonction des clients, jusqu’à exclure certains composants, notamment en provenance de Chine. Ce critère figurait parmi le cahier des charges du Département américain de la Défense dans le cadre de son programme Blue sUAS (small Unmanned Aircraft Systems). C’est d’ailleurs ce programme qui a donné naissance au micro-drone ANAFI USA, adopté par la suite par la DGA.
« La sécurité, c’est de la répétition, la base de toute pédagogie. C’est donner du sens aussi en expliquant, du PDG jusqu’au développeur, pourquoi la sécurité est importante. Et enfin, la sécurité, c’est une vigilance quotidienne », conclut le patron de la cybersécurité de Parrot.