Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Aux États-Unis, une proposition de loi sur la sécurité des objets connectés

var(motdepasse): voir_sur_la_boite;
Internet 4 min
Aux États-Unis, une proposition de loi sur la sécurité des objets connectés
Crédits : jamesteohart/iStock

Alors que la sécurité est encore le point noir de l'Internet des objets, des sénateurs américains proposent d'imposer un niveau minimal de sécurité aux appareils achetés par l'administration. Une pression par la commande publique qui pourrait inspirer l'Europe, en plein travail sur la question, avec l'idée de passer par des labels.

Des deux côtés de l'Atlantique, la sécurité des objets connectés devient un réel objet politique. Hier, quatre sénateurs américains (démocrates et républicains) ont déposé une proposition de loi imposant un niveau minimal de sécurité aux appareils achetés par l'administration. La démarche ressemble à celle envisagée dans l'Union européenne, qui cherche actuellement comment imposer des mesures similaires aux fabricants, pourquoi pas en privilégiant les européens.

L'Internet of Things (IoT) Cybersecurity Improvement Act of 2017 demandera ainsi aux agences étatiques de n'acheter que des objets connectés ne contenant pas de mots de passe écrits en dur dans le code, sans faille de sécurité connue et acceptant concrètement les mises à jour (avec authentification). Les parties logicielles pour la connexion et le chiffrement doivent, elles, ne pas être obsolètes.

Autrement dit, il s'agit de mesures de base pour la sécurité des services publics américains, qui devront se plier à des lignes directrices que les agences de sécurité rédigeront, la main guidée par plusieurs organisations.

Des soutiens et des obligations sous six mois

De grands noms de l'Internet américain soutiennnent le texte (PDF), notamment le Berklett Cybersecurity Project de l'université de Harvard, Cloudflare, Mozilla (qui milite sur la question), Symantec, TechFreedom et VMWare. Leur influence est claire sur les mesures envisagées. Les administrations auront six mois pour s'y conformer, si la proposition devient loi. Du fait de sa rédaction bipartite, ses chances sont excellentes.

Des exceptions à ces règles peuvent exister, si l'agence acheteuse prouve à l'Office of Management and Budget qu'elle peut compenser ce défaut de sécurité. De même, les chercheurs en cybersécurité pourront bien continuer à travailler, leur cas étant explicitement traité.

L'OBM, en lien avec le NIST (Institut national des standards et technologies), aura aussi la charge d'édicter des obligations en matière de réseau (segmentation, passerelles, conteneurs et microservices...). Surtout, chaque service public aura six mois pour effectuer un inventaire complet des objets connectés en leur possession.

Mirai, des caméras et beaucoup de gruyère

Ce texte ressemble à une réponse directe aux attaques d'objets connectés infectés par Mirai en octobre dernier. L'une d'elles avait mené à la saturation de Dyn, qui gère les zones DNS de nombreux services outre-Atlantique, créant des indisponibilités localisées ou mondiales de certains d'entre eux (voir notre analyse). Mirai a été un réel électrochoc dans le monde de la sécurité et pour les politiques.

Il a souligné, s'il le fallait, la sécurité déplorable de bien des appareils dans le commerce, comme les caméras connectées de XiongMai, qui a lancé un rappel massif suite aux attaques. Son tort, classique : avoir écrit en dur le mot de passe de ses caméras IP. Depuis, les cas se sont multipliés, avec l'infection de plus d'un million de routeurs (dont 900 000 en Allemagne) et la découverte de nombreux problèmes sur les caméras Foscam.

Dernièrement, des chercheurs de Bitdefender ont affirmé que 175 000 caméras Neocoolcam du fabricant chinois Shenzen Neo Electronics peuvent être piratées à distance, la majeure partie étant accessibles via le moteur de recherche Shodan. Contactée par ZDNet, l'entreprise n'a pas réagi. Les modèles en question sont vendus à très bas coût, au détriment de la sécurité, qui semble encore perçue comme une contrainte augmentant le prix final des appareils. Les sénateurs américains derrière la proposition de loi affirment d'ailleurs légiférer là où le marché a manqué à ses obligations.

Un débat important en Europe

Dans l'Union européenne, le débat est aussi prégnant. Depuis plusieurs mois, est mené un travail conjoint de nombreux acteurs, sous la houlette de la Commission européenne. Celle-ci inclut la sécurité des objets connectés dans la confiance dans le numérique, nécessaire au développement de l'économie numérique, l'un de ses chevaux de bataille.

Une idée qui émerge est celle de labels pour la sécurité informatique. Elle est entre autres poussée par l'agence européenne de sécurité informatique (Enisa), avec d'importants soutiens industriels. L'institution le proposait publiquement fin mai, en jouant potentiellement sur les polices d'assurance des entreprises en fonction des appareils sur leurs réseaux. Une favorisation des entreprises européennes, qui pourraient être les premières à s'y conformer, est aussi envisagée. Il faut dire que le privacy by design dans la « tech » nourrit les espoirs politiques communautaires, face à des acteurs américains dominants mais rétifs sur le sujet.

Côté français, l'Agence nationale de sécurité des systèmes d'information (ANSSI) nous déclarait qu'une auto-certification des objets connectés sur la sécurité était possible, voire souhaitable, alors que des équipements plus sensibles conserveraient une certification tierce. Une bonne manière de s'adresser de manière large au marché, selon l'agence, qui contribue aux débats européens, même s'il faudra des sanctions concrètes en cas de manquement.

Enfin, rappelons un rapport conjoint des députées Laure de la Raudière et de feu Corinne Erhel sur le sujet, en janvier dernier. Elles y rappelaient notamment l'importance de ne pas considérer que les appareils eux-mêmes mais aussi le traitement des données, qui est un point souvent oublié dans les discussions autour de ces outils, destinés à se compter en dizaines de milliards dans les prochaines années.

6 commentaires
Avatar de Ricard INpactien
Avatar de RicardRicard- 02/08/17 à 15:04:22

Je pense au contraire que pour lutter contre le terrorisme, il doit être facilement faisable de percer la sécurité des objets connectés. Il n'est pas normal que les terroristes agissent en toute impunité.:fumer:

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 02/08/17 à 15:33:08

Ricard a écrit :

Je pense au contraire que pour lutter contre le terrorisme, il doit être facilement faisable de percer la sécurité des objets connectés. Il n'est pas normal que les terroristes agissent en toute impunité.:fumer:

ouais ces salops de terroristes qui utilisent des baby-phones pour communiquer

Avatar de Ricard INpactien
Avatar de RicardRicard- 02/08/17 à 15:36:30

darkbeast a écrit :

ouais ces salops de terroristes qui utilisent des baby-phones pour communiquer

J'ai un copain d'enfance qui habite toujours dans la cité où je suis né. Il me racontait l'autre jour que les gamins qui vendent de l'herbe au pieds des immeubles utilisent FireChat sur des smartphones sans carte sim pour communiquer dans le quartier car ils savent que la maréchaussée les surveille/écoute. :francais:

Avatar de darkbeast Abonné
Avatar de darkbeastdarkbeast- 02/08/17 à 15:40:26

Ricard a écrit :

J'ai un copain d'enfance qui habite toujours dans la cité où je suis né. Il me racontait l'autre jour que les gamins qui vendent de l'herbe au pieds des immeubles utilisent FireChat sur des smartphones sans carte sim pour communiquer dans le quartier car ils savent que la maréchaussée les surveille/écoute. :francais:

les mêmes qu'en bas de chez moi et qui ne se croient pas grillé alors qu'on voit leur "chouf" à des kms

Avatar de loser Abonné
Avatar de loserloser- 02/08/17 à 17:02:13

Ils savent très bien qu'ils sont grillés, mais il s'en foutent: ils sont mineurs. Et même les majeurs, si on les attrape, ils sont à nouveau dehors le lendemain...

Avatar de Drepanocytose INpactien
Avatar de DrepanocytoseDrepanocytose- 02/08/17 à 20:08:09

loser a écrit :

Ils savent très bien qu'ils sont grillés, mais il s'en foutent: ils sont mineurs. Et même les majeurs, si on les attrape, ils sont à nouveau dehors le lendemain...

Bah oui, enfermons les ces sauvageons. Mais laissons les consommateurs en paix : ils paient leurs impôts,eux, au moins.

Il n'est plus possible de commenter cette actualité.