Parrot, le premier groupe de drones Européen, est fier d’annoncer les résultats d’un audit indépendant de sécurité et de protection des données concernant son application mobile FreeFlight 6 dédiée à la plateforme de drones ANAFI. Cet audit approfondi a été mené par Bishop Fox, l’une des entreprises privées les plus reconnues pour ses services professionnels de sécurité offensive, afin d'examiner et d'objectiver les vulnérabilités potentielles en matière de sécurité et de confidentialité de l'application FreeFlight 6.
Les évaluations approfondies de Bishop Fox sur les applications mobiles FreeFlight 6 et les WebServices ont confirmé que l’application tient effectivement la promesse de Parrot d'assurer une sécurité des données et une transparence exceptionnelles. Aucune donnée utilisateur n’est partagée par l’application, sauf si l’utilisateur choisit de partager ses informations. L’équipe de Bishop Fox a effectué une analyse automatisée des failles, un examen du code source et des tests d’intrusion manuels afin d’évaluer la protection des données et confronter l’application face aux attaques du monde réel.
Aucun comportement ou fonction qui entre en conflit avec la politique de confidentialité, disponible sur le site web de Parrot, n’a été observé dans l’application mobile, les WebServices ou encore le code source, a déclaré Daniel Wood, vice-président adjoint du conseil chez Bishop Fox, dans un résumé écrit de l’audit de sécurité et de confidentialité.
L’équipe n’a découvert aucune fonction dans le code source permettant de transmettre les données de vol au serveur contrôlé par Parrot, en dehors des journaux de bord du drone autorisés par l’utilisateur. De plus, l’équipe n’a observé aucune transmission de fichiers (photos, vidéo, fichiers audio) capturés par le drone ou via les applications, en dehors du partage initié par l’utilisateur vers les réseaux sociaux.
L’audit de sécurité et de confidentialité mené par Bishop Fox a confirmé les résultats suivants :
- L’application mobile FreeFlight 6, disponible via l’Apple Store et Google Play, correspond au code source fourni. Le code source ne présente pas d’obfuscation et Bishop Fox n'a identifié aucun code ou fonctionnalité qui s'écarte de la conception et de l'objectif déclarés de l'application.
- L’équipe d’évaluation de Bishop Fox n’a trouvé aucun mécanisme forçant à mettre à jour l’application FreeFlight 6, en dehors des mises à jour de la plateforme. Les mises à jour du micrologiciel du drone sont demandées à l’utilisateur et ne sont pas lancées sans son autorisation.
- En examinant les autorisations accordées par FreeFlight 6 par rapport aux actions présentées par l’application, l'équipe de Bishop Fox n'a identifié aucune activité suspecte qui indiquerait une collecte ou un partage de données non divulgués au-delà des autorisations explicitement accordées par l'utilisateur.
- L'équipe d'évaluation de Bishop Fox n'a pas pu obtenir d’accès non authentifié aux données utilisateur enregistrées. En outre, l'équipe a vérifié que les données utilisateur enregistrées dans le stockage cloud étaient purgées à la demande de l'utilisateur.
- En examinant les interactions entre les drones, l’application mobile et les WebServices back-end dans le code source, Bishop Fox n'a découvert aucune transmission de données de vol vers le stockage contrôlé par Parrot, en dehors des journaux de bord approuvés par l'utilisateur. L'équipe n'a observé aucune transmission de photos, vidéos ou fichiers audios capturés par le drone ou via une application, sauf si elle a été explicitement initiée par l'utilisateur.
- L’équipe d’évaluation de Bishop Fox a comparé ses observations à la politique de confidentialité publiée par Parrot. Aucun comportement ou fonction n’a été observé en conflit avec cette dernière.
Victor Vuillard, responsable sécurité du groupe Parrot se félicite de ces résultats : Les équipes de Parrot s’investissent pour fournir des produits conçus avec un haut niveau d’exigence de la sécurité et de la protection des données personnelles. L’audit de Bishop Fox prouve le haut niveau de sécurité obtenu par les produits de Parrot au profit de nos utilisateurs. Nous sommes fiers d’offrir les drones les plus sécurisés.
Dans le cadre de l’évaluation complète de Bishop Fox, deux vulnérabilités à risque moyen et trois vulnérabilités à faible risque ont été identifiées dans l’application mobile FreeFlight 6. L'équipe de Bishop Fox a constaté que ces vulnérabilités n’affectent ni la confidentialité ni la sécurité des données des utilisateurs.
La prochaine mise à jour logicielle de Parrot règlera deux problèmes mineurs identifiés, liés au chiffrement de la configuration. Suite à un examen interne et sur la base des commentaires des utilisateurs, Parrot accepte le risque associé aux vulnérabilités de risque moyen et faible restantes liées aux expirations de jetons d'autorisation, à la détection de root et de jailbreak et à l'épinglage de certificats, car les avantages pour l'expérience utilisateur et la transparence l'emportent sur ces risques.
Pour lire la synthèse détaillée de l'audit indépendant mené par Bishop Fox sur l’application de Parrot FreeFlight 6, rendez-vous ici : https://www.parrot.com/us/privacy-security.