En 2015, Eugene Kaspersky, fondateur et CEO de la firme de cybersécurité russe portant son nom, prévenait que l’Internet des objets pourrait bientôt devenir l’Internet des menaces. Devant les caméras de NBC Television, le CEO expliquait que ces objets connectés qui sont à la merci des piratages peuvent faire plus de mal qu’on ne l’imagine. Le moins qu’on puisse dire, c’est que ces déclarations se sont vérifiées. Entre un thermostat connecté qui permet à des pirates de dérober 10 Go de données et les portes des bureaux de la succursale de Google à Sunnyvale (une ville californienne) dont un employé a pris le contrôle aisément grâce aux objets connectés intégrés au système, on peut dire que les cas démontrant que les objets connectés peuvent devenir des menaces ne manquent pas. C’est donc en réponse à cette menace naissante que l’Assemblée californienne a décidé de prendre une loi pour réglementer les dispositifs IoT.
« Ce projet de loi, à compter du 1er janvier 2020, obligerait le fabricant d’un appareil connecté, au fur et à mesure de la définition de ces termes, à le doter d’une ou de plusieurs fonctions adaptées à la nature et à la fonction de l’appareil, adaptées aux informations qu'il peut collecter, contenir ou transmettre, et conçues pour protéger l'appareil et toute information qu'il contient, contre un accès, une destruction, une utilisation, une modification ou une divulgation non autorisés, tel que spécifié », peut-on lire dans le texte de loi « SB-327 Information privacy : connected devices » approuvé par l’Assemblée californienne, il y a quelques semaines.
Définissant les appareils connectés comme tout appareil pouvant se connecter directement ou indirectement à Internet et possédant une adresse IP ou Bluetooth, le texte de loi introduit des exigences de sécurité que ces appareils devront désormais respecter si le gouverneur californien signe le texte de loi et le promulgue. Ces exigences de sécurité sont entre autres que toute personne pouvant se connecter à un appareil en dehors d’un réseau local doit avoir soit des mots de passe préprogrammés propres à chaque appareil, soit un moyen de générer de nouvelles informations d’authentification avant d’y accéder pour la première fois.
Ce texte de loi est donc un pas dans la bonne direction. Cependant, il est encore assez sommaire sur les exigences de sécurité. Des mesures telles la signature de code ou encore les audits de sécurité sur les composants bas de gamme que les fabricants d’appareils connectés utilisent, par exemple, pourraient permettre de renforcer les exigences de sécurité que les fournisseurs d’appareils connectés devront respecter. Le texte de loi n’a pas non plus abordé un éventuel renforcement des appareils connectés grâce à la suppression de fonctions inutiles.
De nombreux autres projets de loi sur les appareils connectés ont vu le jour aux États-Unis. On peut citer par exemple le SMART IoT Act, le DIGIT Act, le Cybersecurity Improvement Act, le Security IoT Act of 2017 ou encore le Cyber Shield Act of 2017. Les deux premiers sont des projets exploratoires devant aboutir sur des études et des rapports. Les autres, en revanche, visent à réellement réglementer les appareils connectés.
Le Cybersecurity Improvement Act, par exemple, impose des dispositions contractuelles aux agences gouvernementales qui achètent des appareils connectés. Vous l’aurez compris, elle ne s’applique qu’aux acheteurs étatiques. Le Security IoT Act of 2017 obligerait la Federal Communications Commission à imposer des normes de cybersécurité supplémentaires lors des accès aux appareils sans fil.
Le Cyber Shield Act of 2017, quant à lui, imposerait au Département du commerce de créer un système de classement basé sur la sécurité qu’offrent les appareils IoT. Pour des raisons qui nous échappent, aucune de ces deux lois n’a été adoptée. C’est donc pour ça que le texte californien représente un petit événement. Il ne manque que la signature du gouverneur Brown pour qu’elle entre en vigueur en 2020 et tout porte à croire que ce n’est qu’une question de temps pour que cette signature se fasse.
Les internautes n’ont pas manqué de se prononcer sur ce texte de loi. Ils expliquent que ce texte est symptomatique de « l’analphabétisme technologique » des législateurs en général qui engendre soit des lois trop restrictives, soit des lois pas assez restrictives. Pour eux, les exigences de sécurité imposées par le nouveau texte sont cruellement insuffisantes.
Source : Sophos, Législature d'État de la Californie
Et vous ?
Qu’en pensez-vous ? Ce texte de loi résout-il réellement le problème de la menace des objets connectés ? Pourquoi ? Quelles mesures devraient être prises selon vous ?Voir aussi
L'internet des objets pourrait rapidement devenir l'internet des menaces, prévient le fondateur et PDG Kaspersky IoT : des pirates s'appuient sur le thermostat connecté d'un aquarium pour pénétrer le réseau d'un casino et extirper 10 Go de data Un employé de Google pirate les portes de bureaux de l'entreprise pour l'avertir des vulnérabilités des dispositifs de l'IoT intégrés à ses systèmes « L'Internet des objets » va-t-il changer le monde ? Microsoft expose un futur où terminaux embarqués, Cloud et Web se mélangent L'Internet des objets suscite plusieurs interrogations chez les spécialistes selon une étude