Les membres du Sénat et de la Chambre des représentants des États-Unis ont présenté lundi la Loi sur l'amélioration de la cybersécurité de l'internet des objets, dans l'espoir de faire adopter des mesures législatives concernant les technologies émergentes.Les appareils connectés devraient atteindre 20,4 milliards d’unités d’ici 2020, mais ils n’ont pas tous le même niveau de sécurité.
Une illustration de la menace avec Mirai
Mirai est une bonne illustration de la problématique abordée par les politiciens. Pour rappel, Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.
Des rapports liés à ce logiciel malveillant se sont multipliés, comme un rapport publié en 2016 par Sierra Wireless, l’équipementier canadien en dispositifs sans fil, qui a indiqué à ses clients que « Sierra Wireless a confirmé les rapports selon lesquels le malware Mirai infecte les passerelles AirLink utilisant le mot de passe par défaut d’ACEmanager et accessible depuis Internet ».
Le logiciel a également été impliqué dans une attaque DDoS lancée contre Dyn, un fournisseur de service DNS. Vendredi 21 octobre 2016 en fin d’après-midi, Dyn a confirmé qu’une attaque a été lancée contre ses services, paralysant ainsi l’accès aux sites de ses clients à l’est des États-Unis même si certains sites étaient inaccessibles depuis l’Europe. Selon le baromètre DataNyze, Dyn possède 4,7 % des sites figurant sur le top 1M de l’indice Alexa, soit 82 712 sites. Parmi eux figurent des icônes comme Paypal, Twitter, Github, Playstation Network, Netflix, Spotify ou encore Airbnb. Peu après minuit (heure de Paris), l’entreprise a annoncé avoir résolu cet incident.
En somme, l’IdO peut favoriser des attaques de grande ampleur notamment à cause des règles peu strictes de sécurité autour des dispositifs connectés à internet, notamment l’utilisation des mots de passe par défaut, des vulnérabilités non colmatées, etc. Et c’est à ce problème que veulent s’attaquer les législateurs américains.
Interviennent alors les législateurs
Lors d'une audition devant le Sénat l'année dernière, le lieutenant-général Robert Ashley, directeur de la Defense Intelligence Agency, a déclaré aux législateurs que les dispositifs IdO non sécurisés constituaient l'une des « plus importantes menaces cybernétiques émergentes » pour la sécurité nationale des États-Unis.
Il n'y a pas de norme nationale pour la sécurité IdO et il appartient à chaque entreprise de déterminer dans quelle mesure elle souhaite sécuriser ses périphériques connectés.
Les législateurs cherchent à résoudre ce problème avec le projet de loi, qui exigerait un minimum de normes de sécurité pour tous les appareils IdO utilisés par le gouvernement fédéral.
« Même si je suis enthousiasmé par leur potentiel de changement de vie, je suis également préoccupé par le fait que de nombreux appareils IdO sont vendus sans les protections et garde-fous appropriés, le marché des appareils privilégiant le confort et le prix plutôt que la sécurité », a déclaré le sénateur Mark Warner, un démocrate de Virginie, dans un communiqué.
Une loi qui se cantonne aux appareils connectés vendus au gouvernement américain
La législation n'aurait pas de normes de sécurité pour les entreprises IdO dans tous les domaines, seulement celles qui veulent vendre au gouvernement américain.
L'espoir est qu'en améliorant les normes de sécurité pour le gouvernement fédéral, l'un des plus gros clients disponibles, les normes pour l'ensemble du marché de l'IdO s'amélioreraient parallèlement.
Le projet de loi ne ressemble pas au SB 327 de Californie, la première loi de sécurité du pays pour l'IdO, adoptée en septembre dernier. La loi californienne exige des mesures de sécurité spécifiques que les fabricants d'appareils doivent respecter, comme par exemple se débarrasser des mots de passe par défaut et obliger les utilisateurs à générer leurs propres mots de passe avant d'autoriser l'accès aux appareils.
S'il est adopté, le projet de loi fédérale sur la sécurité de l'IdO nécessitera des recommandations de l'Institut national des normes et de la technologie sur les normes de sécurité que le gouvernement fédéral devrait suivre.
Le NIST examinerait également cette politique tous les cinq ans, selon le projet de loi.
Tous les fournisseurs IdO qui vendent au gouvernement américain devraient également avoir une politique de divulgation des vulnérabilités afin que les responsables gouvernementaux puissent savoir quand les appareils qu'ils utilisent sont ouverts aux cyberattaques.
Quatre sénateurs ont d'abord proposé ce projet de loi en août 2017 et celui-ci sera soumis à un vote au Sénat et à la Chambre lundi.
Sens. Warner, Cory Gardner, Maggie Hassan et Steve Daines ont présenté le projet de loi au Sénat, tandis que les représentants Robin Kelly et Will Hurd ont présenté le projet de loi à la Chambre.
« Comme ces appareils révolutionnent positivement la communication, nous ne pouvons leur permettre de devenir une porte dérobée pour les pirates ou des outils pour les cyberattaques », a déclaré Kelly, un démocrate de l'Illinois, dans un communiqué.
Source : projet de loi
Voir aussi :
WebAuthn : le W3C et l'Alliance FIDO finalisent la norme pour les connexions sans mot de passe et appellent les sites et entreprises à l'adopter Les sénateurs démocrates exhortent la FTC à agir contre les « pratiques frauduleuses amicales » de Facebook, en donnant suite à la nouvelle plainte Le gouverneur de la Californie propose l'instauration d'un dividende numérique, qui permettrait aux consommateurs de partager une partie des bénéfices La France a été la troisième région source d'attaques DDoS au 2T18 d'après un rapport, qui souligne le rôle joué par les appareils IdO non sécurisés 
