Aux États-Unis, une proposition de loi sur la sécurité des objets connectés

Alors que la sécurité est encore le point noir de l'Internet des objets, des sénateurs américains proposent d'imposer un niveau minimal de sécurité aux appareils achetés par l'administration. Une pression par la commande publique qui pourrait inspirer l'Europe, en plein travail sur la question, avec l'idée de passer par des labels.

Des deux côtés de l'Atlantique, la sécurité des objets connectés devient un réel objet politique. Hier, quatre sénateurs américains (démocrates et républicains) ont déposé une proposition de loi imposant un niveau minimal de sécurité aux appareils achetés par l'administration. La démarche ressemble à celle envisagée dans l'Union européenne, qui cherche actuellement comment imposer des mesures similaires aux fabricants, pourquoi pas en privilégiant les européens.

L'Internet of Things (IoT) Cybersecurity Improvement Act of 2017 demandera ainsi aux agences étatiques de n'acheter que des objets connectés ne contenant pas de mots de passe écrits en dur dans le code, sans faille de sécurité connue et acceptant concrètement les mises à jour (avec authentification). Les parties logicielles pour la connexion et le chiffrement doivent, elles, ne pas être obsolètes.

Autrement dit, il s'agit de mesures de base pour la sécurité des services publics américains, qui devront se plier à des lignes directrices que les agences de sécurité rédigeront, la main guidée par plusieurs organisations.

Des soutiens et des obligations sous six mois

De grands noms de l'Internet américain soutiennnent le texte (PDF), notamment le Berklett Cybersecurity Project de l'université de Harvard, Cloudflare, Mozilla (qui milite sur la question), Symantec, TechFreedom et VMWare. Leur influence est claire sur les mesures envisagées. Les administrations auront six mois pour s'y conformer, si la proposition devient loi. Du fait de sa rédaction bipartite, ses chances sont excellentes.

Des exceptions à ces règles peuvent exister, si l'agence acheteuse prouve à l'Office of Management and Budget qu'elle peut compenser ce défaut de sécurité. De même, les chercheurs en cybersécurité pourront bien continuer à travailler, leur cas étant explicitement traité.

L'OBM, en lien avec le NIST (Institut national des standards et technologies), aura aussi la charge d'édicter des obligations en matière de réseau (segmentation, passerelles, conteneurs et microservices...). Surtout, chaque service public aura six mois pour effectuer un inventaire complet des objets connectés en leur possession.

Mirai, des caméras et beaucoup de gruyère

Ce texte ressemble à une réponse directe aux attaques d'objets connectés infectés par Mirai en octobre dernier. L'une d'elles avait mené à la saturation de Dyn, qui gère les zones DNS de nombreux services outre-Atlantique, créant des indisponibilités localisées ou mondiales de certains d'entre eux (voir notre analyse). Mirai a été un réel électrochoc dans le monde de la sécurité et pour les politiques.

Il a souligné, s'il le fallait, la sécurité déplorable de bien des appareils dans le commerce, comme les caméras connectées de XiongMai, qui a lancé un rappel massif suite aux attaques. Son tort, classique : avoir écrit en dur le mot de passe de ses caméras IP. Depuis, les cas se sont multipliés, avec l'infection de plus d'un million de routeurs (dont 900 000 en Allemagne) et la découverte de nombreux problèmes sur les caméras Foscam.

Dernièrement, des chercheurs de Bitdefender ont affirmé que 175 000 caméras Neocoolcam du fabricant chinois Shenzen Neo Electronics peuvent être piratées à distance, la majeure partie étant accessibles via le moteur de recherche Shodan. Contactée par ZDNet, l'entreprise n'a pas réagi. Les modèles en question sont vendus à très bas coût, au détriment de la sécurité, qui semble encore perçue comme une contrainte augmentant le prix final des appareils. Les sénateurs américains derrière la proposition de loi affirment d'ailleurs légiférer là où le marché a manqué à ses obligations.

Un débat important en Europe

Dans l'Union européenne, le débat est aussi prégnant. Depuis plusieurs mois, est mené un travail conjoint de nombreux acteurs, sous la houlette de la Commission européenne. Celle-ci inclut la sécurité des objets connectés dans la confiance dans le numérique, nécessaire au développement de l'économie numérique, l'un de ses chevaux de bataille.

Une idée qui émerge est celle de labels pour la sécurité informatique. Elle est entre autres poussée par l'agence européenne de sécurité informatique (Enisa), avec d'importants soutiens industriels. L'institution le proposait publiquement fin mai, en jouant potentiellement sur les polices d'assurance des entreprises en fonction des appareils sur leurs réseaux. Une favorisation des entreprises européennes, qui pourraient être les premières à s'y conformer, est aussi envisagée. Il faut dire que le privacy by design dans la « tech » nourrit les espoirs politiques communautaires, face à des acteurs américains dominants mais rétifs sur le sujet.

Côté français, l'Agence nationale de sécurité des systèmes d'information (ANSSI) nous déclarait qu'une auto-certification des objets connectés sur la sécurité était possible, voire souhaitable, alors que des équipements plus sensibles conserveraient une certification tierce. Une bonne manière de s'adresser de manière large au marché, selon l'agence, qui contribue aux débats européens, même s'il faudra des sanctions concrètes en cas de manquement.

Enfin, rappelons un rapport conjoint des députées Laure de la Raudière et de feu Corinne Erhel sur le sujet, en janvier dernier. Elles y rappelaient notamment l'importance de ne pas considérer que les appareils eux-mêmes mais aussi le traitement des données, qui est un point souvent oublié dans les discussions autour de ces outils, destinés à se compter en dizaines de milliards dans les prochaines années.