La Californie va interdire les mots de passe par défaut sur tout appareil connecté à Internet,
Afin d'améliorer la sécurité sur les réseaux sans fil

Le , par Stan Adkens, Chroniqueur Actualités
Les années 2016 et 2017 ont été marquées par une vague mondiale d’attaques au ransomware qui a fait des dégâts impressionnants sur les systèmes connectés. Le malware Mirai, qui pouvait créer des botnets d'objets connectés, utilisait des gateway Sierra Wireless. Ses attaques ont été dirigées contre KrebsOnSecurity, provoquant l’indisponibilité du site, mais aussi contre l’hébergeur français OVH, qui a fait face à l’attaque DDoS la plus violente de l’histoire. Ensuite, le ransomware WannaCry qui, entre autres actions, avait pris en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale. Le malware Petya/NotPetya avait également été à l’origine des dégâts effrayants.

Pour rappel, ces logiciels malveillants se déployaient sur des dispositifs vulnérables en recherchant sur Internet des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables identifiés sont alors attaqués par ces logiciels malveillants qui les transforment en botnets pour mener des attaques par déni de service.

C’est dans une tentative de faire face aux problèmes de sécurité occasionnés, en partie, par des mots de passe par défaut attribués par les fabricants aux appareils qui se connectent à des réseaux sans fil que l’Etat de la Californie à initié, depuis l’an dernier, un projet de loi dénommé « Confidentialité des informations : appareils connectés ». Le terme appareil/périphérique connecté « désigne tout périphérique ou autre objet physique capable de se connecter à Internet, directement ou indirectement, auquel une adresse de protocole Internet ou une adresse Bluetooth est affectée. », selon le projet de loi.


Le projet a été signé, le 28 septembre dernier, par le gouverneur de la Californie, Jerry Brown. Par conséquent, dans moins de deux ans, c’est-à-dire le 1er janvier 2020, tout ce qui peut se connecter à Internet sera doté d'un mot de passe unique, s'il est produit ou vendu en Californie. Il n’a fallu qu’environ deux semaines aux autorités californiennes pour approuver cette proposition du Sénat, qui empêche que tout appareil vendu ou fabriqué en Californie soit muni d’un mot de passe par défaut préinstallé et codé en dur, dès début 2020.

Les fabricants des périphériques connectés en Californie seront obligés, en vertu de la nouvelle loi, soit de créer un mot de passe unique pour chaque périphérique au moment de la production, soit de prévoir un moyen qui fait obligation à l’utilisateur d’en créer un lorsqu’il interagit avec l’appareil pour la première fois. « Ce projet de loi, à compter du 1er janvier 2020, obligerait le fabricant d’un périphérique connecté, au sens de la définition de ces termes, à doter le périphérique d’une fonctionnalité de sécurité raisonnable, adaptée à la nature et au fonctionnement du périphérique, ».

La Californie, par cette disposition, veut empêcher que les logiciels malveillants continuent de prendre le contrôle des routeurs, des commutateurs intelligents ainsi que des caméras de sécurité et autres équipements IoT en profitant de la faiblesse des mots de passe par défaut divulgués publiquement et facile à deviner.

Cependant, ce projet de loi divise les chercheurs américains en sécurité. Si certains, pensent que le projet constitue une bonne base qu’il faut encourager bien qu’il ne couvre pas tout les champs d’attaque des logiciels malveillants, d’autres le jugent de « mauvaise loi IoT de la Californie ».

En effet, parmi ceux qui s’opposent à la loi, il y a le chercheur Robert Graham qui pense que le projet de loi est basé sur « une compréhension superficielle de la cybersécurité/piratage, qui n'améliorera guère la sécurité, tout en faisant beaucoup pour imposer des coûts et nuire à l'innovation. », selon son billet de blog. Pour l’expert, il ne s’agit pas d'ajouter des « fonctionnalités de sécurité », mais de supprimer les « fonctionnalités non sécurisées », c'est-à-dire, la suppression des ports d’écoute non utilisés ainsi que les problèmes d’injection inter-site dans la gestion Web. Selon M. Graham, plus de fonctionnalités d’authentification et de sécurité augmenteront la surface d'attaque.

Selon le billet de blog, certains périphériques sont vulnérables aux malwares à cause de la négligence des utilisateurs qui n’installent pas les mises à jour disponibles ou à cause de l’indisponibilité des mises à jour. Aussi, certains des appareils ne ressemblent pas aux téléphones intelligents ou ordinateurs portables qui informent les utilisateurs de l'application de correctifs. Selon l’expert, pour résoudre le problème des mises à jour des périphériques connectés, certains penseraient à une solution de mises à jour automatisées. Cependant, ce type de mises à jour pourrait être utilisé par les pirates informatiques pour procéder à une infection de masse en prenant le contrôle des systèmes des fournisseurs, à déclaré Robert Graham.

Source : Texte du projet de loi, Blog de Graham

Et vous ?

Que pensez-vous du projet de loi de l’Etat de la Californie ?
Un expert en sécurité pense que cette loi est mauvaise. Qu’en pensez-vous ?

Voir aussi

Le malware Mirai, qui peut créer des botnets d'objets connectés, utilise des gateway Sierra Wireless, qui exhorte à changer les MdP par défaut
Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale, des rançons de 300 $ minimum sont exigées
Petya/NotPetya : le CERT-FR prévient que le ransomware dispose de multiples capacités de propagation, et donne des recommandations pour l'éviter
WannaCry : infection de 55 caméras de trafic routier en Australie, pendant des opérations de maintenance
Chiffrement : le gouvernement australien plaide pour l'installation de portes dérobées, et espère convaincre l'alliance Five Eyes de le suivre


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Advaxendayi Advaxendayi - Membre à l'essai https://www.developpez.com
le 07/10/2018 à 4:43
C'est un grand pas vers la sécurité future.
ils ont quand même quelque chose à ajouter pour la bonne marche des leur machines
Avatar de Paul TOTH Paul TOTH - Expert éminent sénior https://www.developpez.com
le 07/10/2018 à 11:19
ce que je trouve étrange c'est qu'il faille une loi pour cela...n'est-ce pas aux industriels de proposer des solutions sécurisées et d'en faire la promotion sur cet argument ? ils sont supposés mieux connaitre la problématique que le législateur.
Avatar de Jipété Jipété - Expert éminent sénior https://www.developpez.com
le 07/10/2018 à 11:42
Citation Envoyé par Paul TOTH Voir le message
ils sont supposés mieux connaitre la problématique que le législateur.
Vi, mais ils en ont beaucoup rien à cirer !
Étudier une interface pour obliger l'utilisateur à configurer son machin avant de pouvoir l'utiliser, c'est consommateur de temps, donc d'argent, et c'est également anti-commercial, donc on évacue cette problématique s'il n'y a personne pour leur imposer de travailler dessus.

C'est aussi bête que ça...
Avatar de Paul TOTH Paul TOTH - Expert éminent sénior https://www.developpez.com
le 07/10/2018 à 13:09
Citation Envoyé par Jipété Voir le message
Vi, mais ils en ont beaucoup rien à cirer !
Étudier une interface pour obliger l'utilisateur à configurer son machin avant de pouvoir l'utiliser, c'est consommateur de temps, donc d'argent, et c'est également anti-commercial, donc on évacue cette problématique s'il n'y a personne pour leur imposer de travailler dessus.

C'est aussi bête que ça...
c'est bien pour cela qu'il faut en faire un argument commercial.
Avatar de Alvaten Alvaten - Membre éprouvé https://www.developpez.com
le 08/10/2018 à 17:03
ce que je trouve étrange c'est qu'il faille une loi pour cela...n'est-ce pas aux industriels de proposer des solutions sécurisées et d'en faire la promotion sur cet argument ? ils sont supposés mieux connaitre la problématique que le législateur.
Je ne suis pas vraiment d'accord. Perso je trouve ca normal que le minimum attendu soit inscrit dans la loi pour que tous les produits sur le marché soient un minimum sécurisés, sinon tu aura toujours des industriels qui proposeront des solutions non sécurisés, si la non implémentation de la sécurité leur épargne de l'argent.

Et c'est valable dans tout les domaines, par exemple, si la ceinture de sécurité en voiture n'était pas obligatoire, je suis certain que les fabricants low cost la mettraient en option pour baisser les coûts de production. Et les fabricants qui l’incluraient de base l'utiliseraient comme argument commercial.

Comme l'a si bien dit Jipété, "ils en ont beaucoup rien à cirer ! ", si ton objectif c'est "le pognon avant tout", même avec une connaissance des problèmes si personne t'oblige à les résoudre et bien tu laisses les problèmes en place. A chaque fois qu'un scandal industriel éclate, on entend des "ils étaient au courant mais n'ont rien fait", et après on pond une loi pour que ca n'arrive plus.
Avatar de ddoumeche ddoumeche - Membre chevronné https://www.developpez.com
le 08/10/2018 à 18:05
Citation Envoyé par Paul TOTH Voir le message
ce que je trouve étrange c'est qu'il faille une loi pour cela...n'est-ce pas aux industriels de proposer des solutions sécurisées et d'en faire la promotion sur cet argument ? ils sont supposés mieux connaitre la problématique que le législateur.
Est-ce aux industriels de choisir si oui ou non ils veulent mettre des ceintures de sécurité ou des airbags dans les véhicules commercialisés en France ?
Avatar de sneb5757 sneb5757 - Membre actif https://www.developpez.com
le 09/10/2018 à 10:08
Citation Envoyé par Paul TOTH Voir le message
c'est bien pour cela qu'il faut en faire un argument commercial.
Cela aura peut de poids je pense la plupart des consommateurs s'enfoutent
Avatar de Paul TOTH Paul TOTH - Expert éminent sénior https://www.developpez.com
le 09/10/2018 à 13:57
Citation Envoyé par ddoumeche Voir le message
Est-ce aux industriels de choisir si oui ou non ils veulent mettre des ceintures de sécurité ou des airbags dans les véhicules commercialisés en France ?
ce qui n'oblige en rien l'automobiliste à boucler sa ceinture...si tu veux comparer, il faudrait qu'une loi impose que l'on ne puisse pas mettre le contact sans avoir bouclé sa ceinture...mais là j'aurais du mal à en faire un argument publicitaire.
Contacter le responsable de la rubrique Accueil