Les années 2016 et 2017 ont été marquées par une vague mondiale d’attaques au ransomware qui a fait des dégâts impressionnants sur les systèmes connectés. Le malware Mirai, qui pouvait créer des botnets d'objets connectés, utilisait des gateway Sierra Wireless. Ses attaques ont été dirigées contre KrebsOnSecurity, provoquant l’indisponibilité du site, mais aussi contre l’hébergeur français OVH, qui a fait face à l’attaque DDoS la plus violente de l’histoire. Ensuite, le ransomware WannaCry qui, entre autres actions, avait pris en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale. Le malware Petya/NotPetya avait également été à l’origine des dégâts effrayants. Pour rappel, ces logiciels malveillants se déployaient sur des dispositifs vulnérables en recherchant sur Internet des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables identifiés sont alors attaqués par ces logiciels malveillants qui les transforment en botnets pour mener des attaques par déni de service.
C’est dans une tentative de faire face aux problèmes de sécurité occasionnés, en partie, par des mots de passe par défaut attribués par les fabricants aux appareils qui se connectent à des réseaux sans fil que l’Etat de la Californie à initié, depuis l’an dernier, un projet de loi dénommé « Confidentialité des informations : appareils connectés ». Le terme appareil/périphérique connecté « désigne tout périphérique ou autre objet physique capable de se connecter à Internet, directement ou indirectement, auquel une adresse de protocole Internet ou une adresse Bluetooth est affectée. », selon le projet de loi.
Le projet a été signé, le 28 septembre dernier, par le gouverneur de la Californie, Jerry Brown. Par conséquent, dans moins de deux ans, c’est-à-dire le 1er janvier 2020, tout ce qui peut se connecter à Internet sera doté d'un mot de passe unique, s'il est produit ou vendu en Californie. Il n’a fallu qu’environ deux semaines aux autorités californiennes pour approuver cette proposition du Sénat, qui empêche que tout appareil vendu ou fabriqué en Californie soit muni d’un mot de passe par défaut préinstallé et codé en dur, dès début 2020.
Les fabricants des périphériques connectés en Californie seront obligés, en vertu de la nouvelle loi, soit de créer un mot de passe unique pour chaque périphérique au moment de la production, soit de prévoir un moyen qui fait obligation à l’utilisateur d’en créer un lorsqu’il interagit avec l’appareil pour la première fois. « Ce projet de loi, à compter du 1er janvier 2020, obligerait le fabricant d’un périphérique connecté, au sens de la définition de ces termes, à doter le périphérique d’une fonctionnalité de sécurité raisonnable, adaptée à la nature et au fonctionnement du périphérique, ».
La Californie, par cette disposition, veut empêcher que les logiciels malveillants continuent de prendre le contrôle des routeurs, des commutateurs intelligents ainsi que des caméras de sécurité et autres équipements IoT en profitant de la faiblesse des mots de passe par défaut divulgués publiquement et facile à deviner.
Cependant, ce projet de loi divise les chercheurs américains en sécurité. Si certains, pensent que le projet constitue une bonne base qu’il faut encourager bien qu’il ne couvre pas tout les champs d’attaque des logiciels malveillants, d’autres le jugent de « mauvaise loi IoT de la Californie ».
En effet, parmi ceux qui s’opposent à la loi, il y a le chercheur Robert Graham qui pense que le projet de loi est basé sur « une compréhension superficielle de la cybersécurité/piratage, qui n'améliorera guère la sécurité, tout en faisant beaucoup pour imposer des coûts et nuire à l'innovation. », selon son billet de blog. Pour l’expert, il ne s’agit pas d'ajouter des « fonctionnalités de sécurité », mais de supprimer les « fonctionnalités non sécurisées », c'est-à-dire, la suppression des ports d’écoute non utilisés ainsi que les problèmes d’injection inter-site dans la gestion Web. Selon M. Graham, plus de fonctionnalités d’authentification et de sécurité augmenteront la surface d'attaque.
Selon le billet de blog, certains périphériques sont vulnérables aux malwares à cause de la négligence des utilisateurs qui n’installent pas les mises à jour disponibles ou à cause de l’indisponibilité des mises à jour. Aussi, certains des appareils ne ressemblent pas aux téléphones intelligents ou ordinateurs portables qui informent les utilisateurs de l'application de correctifs. Selon l’expert, pour résoudre le problème des mises à jour des périphériques connectés, certains penseraient à une solution de mises à jour automatisées. Cependant, ce type de mises à jour pourrait être utilisé par les pirates informatiques pour procéder à une infection de masse en prenant le contrôle des systèmes des fournisseurs, à déclaré Robert Graham.
Source : Texte du projet de loi, Blog de Graham
Et vous ?
Que pensez-vous du projet de loi de l’Etat de la Californie ? Un expert en sécurité pense que cette loi est mauvaise. Qu’en pensez-vous ?Voir aussi
Le malware Mirai, qui peut créer des botnets d'objets connectés, utilise des gateway Sierra Wireless, qui exhorte à changer les MdP par défaut Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale, des rançons de 300 $ minimum sont exigées Petya/NotPetya : le CERT-FR prévient que le ransomware dispose de multiples capacités de propagation, et donne des recommandations pour l'éviter WannaCry : infection de 55 caméras de trafic routier en Australie, pendant des opérations de maintenance Chiffrement : le gouvernement australien plaide pour l'installation de portes dérobées, et espère convaincre l'alliance Five Eyes de le suivre 
Envoyé par Paul TOTH
