Sécurité des objets connectés : l'étau se resserre sur les fabricants

Le gouvernement britannique prévoit d’introduire de nouvelles mesures de sécurité informatique et de conformité pour protéger les objets connectés. Il s’agit en particulier de valider le respect d’un principe de sécurité par conception élaboré avec le soutien de fabricants, de revendeurs et du centre national britannique de cybersécurité, les NCSC.

Celui-ci exige par exemple des mots de passe uniques pour chaque appareil, non réinitialisables à un mot de passe par défaut commun à plusieurs. Une politique de gestion des vulnérabilités et un point de contact public doivent également être prévus pour le signalement d’éventuels problèmes. En outre, les données sensibles transmises par des applications ou des appareils connectés doivent être chiffrés. Et le logiciel embarqué doit pouvoir être mis à jour automatiquement. A l’issue de la vérification de la conformité des appareils avec ces règles, ceux-ci doivent recevoir un label dédié.  

Cette approche n’est pas sans rappeler celle prônée par l’agence européenne pour la sécurité de l’information et des réseaux (Enisa). Celle-ci plaide clairement, depuis de longs mois, en faveur de schémas de certification pour garantir que les objets connectés fournissent un niveau minimum de sécurité.

Et le mouvement apparaît plus global. En août dernier des sénateurs américains ont ainsi proposé d’imposer des règles de sécurité minimales aux objets connectés vendus aux administrations. Surtout, le Nist vient de publier un rapport très concret sur l’ensemble des standards internationaux applicables aux objets connectés. Pour l’organisme américain, la cybersécurité des objets connectés est essentielle à la confiance dans les applications s’appuyant sur eux. Mais certains standards existants méritent d’être adaptés aux spécificités de ce contexte.

En fait, toutes initiatives tentent à valider la prédiction formulée par Bruce Schneier, directeur technique d’IBM Resilient, en juin dernier : à l’époque, il assurait ainsi que « la réglementation arrive, avec force ». A l’automne 2016, il s’était déjà exprimé en faveur de celle-ci devant les parlementaires américains : pour lui, on observait alors « un échec fondamental du marché » qui a « donné la priorité aux fonctions et aux coûts au détriment de la sécurité ».

Mais pour Bruce Schneier, « les risques sont trop grands, les enjeux sont trop élevés ». Surtout, « le marché ne va pas [améliorer la sécurité des objets connectés], parce que ni l’acheteur ni le vendeur ne s’en préoccupent. Le marché tend à ne pas corriger les problèmes de sûreté ou de sécurité sans intervention des gouvernements ».

De fait, déjà en 2015, la commission américaine du commerce, la FTC, appelait les constructeurs d’objets connectés à faire preuve d’anticipation dans la création de contrôles de sécurité et de confidentialité.

Mais le message semble avoir été entendu par certains constructeurs. Ainsi, Tuya Smart, dont la plateforme est utilisée par nombre de fabricants d’ampoules et autres prises électriques connectées vendues en Europe sur Internet, a tout récemment indiqué se préparer à l’entrée en vigueur du règlement européen de protection des données (RGPD). Il prévoit de détailler l’ensemble de ses efforts de conformité en la matière au mois de juin.

Avec nos confrères de ComputerWeekly.com (groupe TechTarget).