Selon un article publié par la BBC, la Ministre britannique du numérique, Margot James, proposerait une législation visant à introduire un nouveau système d'étiquetage, pour indiquer aux clients à quel point un produit IdO est sûr.
Afin d'obtenir la classification nécessaire, les appareils connectés devraient :
- avoir un mot de passe unique par défaut;
- indiquer clairement pendant combien de temps les mises à jour de sécurité seront disponibles,
- offrir un point de contact public pour la divulgation des vulnérabilités.
Cette initiative, qui s'inscrit dans le cadre des efforts déployés par le Royaume-Uni pour devenir un leader mondial de la sécurité en ligne, suit la législation californienne qui entrera en vigueur en 2020 et interdit les mots de passe faibles sur les appareils connectés à Internet. Tant la législation proposée au Royaume-Uni que la législation californienne actuelle vont dans la bonne direction ou, à tout le moins, obligeront les fournisseurs à tenir compte de la sécurité lors de la phase de conception d'un produit IdO. Mais la législation est-elle réellement la solution?
Prenons maintenant une pause pour réfléchir à ce que l'on entend réellement par dispositifs IdO ici. La loi californienne offre la définition suivante : un dispositif connecté « désigne tout dispositif ou autre objet physique capable de se connecter à Internet, directement ou indirectement, et auquel est attribuée une adresse Internet Protocol ou une adresse Bluetooth. » Cela inclut une grande variété d'appareils, de voitures, d'ampoules électriques, d'ordinateurs portables, de thermostats pour téléphones cellulaires, la liste est sans fin.
Sur mon bureau, j'ai un haut-parleur Bluetooth. Il n'a pas de mot de passe, il ne recueille aucune donnée, n'en transmet aucune, ou du moins à ma connaissance. Cet appareil est-il couvert par la législation californienne? Devra-t-il être doté d'un mot de passe unique?
Dans le même ordre d'idées, un consommateur qui achètera une voiture Tesla au Royaume-Uni devrait-il s'attendre à ce qu'elle porte une étiquette indiquant qu'elle est conforme à la législation de base sur la sécurité de l'IdO? Ou est-ce que tous les appareils au sein du Tesla qui peuvent communiquer de manière indépendante auront besoin d'avoir une étiquette?
Quel manque de confiance
Le besoin de sécurité est incontestable, et certains, peut-être même de nombreux fabricants de dispositifs IdO n'ont pas pris de mesures raisonnables pour sécuriser leurs dispositifs. Et c'est cet échec qui a poussé les politiciens à agir. Au Royaume-Uni, cela a commencé par un code de pratique volontaire, et c'est un sous-ensemble de celui-ci qui progresse maintenant vers une législation.
Mais en règle générale, la législation étouffe l'innovation. L'industrie de la technologie s'éloigne déjà de l’usage des mots de passe. Bret Arsenault, directeur de la sécurité informatique de Microsoft, a annoncé que 90 % des employés de Microsoft peuvent désormais se connecter au réseau de l'entreprise sans mot de passe, puisque l'entreprise envisage un « monde sans mots de passe ». Ses employés utilisent d'autres options, y compris Windows Hello et l'application Authenticator, qui offrent des alternatives telles que la reconnaissance faciale, les empreintes digitales et l'authentification à deux facteurs.
Les mesures législatives qui n'entreront pas en vigueur avant l'année prochaine ou qui sont encore à l'étude seront probablement désuètes lorsqu'elles entreront pleinement en vigueur. Elle obligera les fabricants d'appareils à utiliser une technologie qu'une industrie tente d'abandonner à la recherche d'options plus sûres.
Dans une analyse récente des données qui ont fait l'objet d'une violation, le National Cyber Security Centre (NCSC) du Royaume-Uni a constaté que 23,2 millions de comptes d'utilisateurs dans le monde utilisaient « 123456 » comme mot de passe et 7,7 millions, « 123456789 ». Les données démontrent un manque d'engagement de la part des consommateurs à sécuriser leurs comptes en ligne, une complaisance qui crée des opportunités pour les cybercriminels.
J'ai récemment fait une présentation lors d'événements sur la cybersécurité aux États-Unis et en Argentine sur la nécessité de tenir compte de la sécurité lors de la connexion de tout appareil à un réseau, en particulier dans les bâtiments intelligents. Lors de ces deux présentations, j’ai adressé la question suivante à l’auditoire : « Quand avez-vous mis à jour le système d'info-divertissement de votre voiture? ». Dans les deux cas, le public avait l'air perplexe. L’auditoire était composé d’experts en cybersécurité. Pourtant, ces derniers connectent leur téléphone, un appareil très personnel, par Bluetooth à un système qu'ils ne mettent jamais à jour. Amusant, un participant s'est connecté avec moi le lendemain et m'a dit que ni lui ni le concessionnaire ne pouvaient mettre à jour son système malgré le fait qu'il n'était plus à jour.
Avancez rapidement de quelques années, et vous obtenez le nouvel appareil IoT, avec son étiquette indiquant qu'il a un mot de passe unique et qu'il y aura des mises à jour pendant cinq ans. Lors de la première utilisation, et pour plus de simplicité, vous réglez le mot de passe sur le même mot de passe que tous les autres mots de passe des appareils de la maison, vous branchez l'appareil et profitez de la commodité des fonctionnalités qu'il offre. Lorsque le fabricant vous envoie un courriel vous informant qu'il y a une mise à jour du micrologiciel, en supposant que vous avez enregistré l'appareil, vous le supprimez lorsque l'appareil fonctionne et pourquoi mettre à jour quelque chose qui fonctionne.
Bien que la législation incite l'industrie à rendre les appareils plus sûrs dès leur sortie de l'emballage, ce sont probablement l'éducation et l'engagement des consommateurs qui augmenteront leur sécurité dans leur maison. Je me demande si vous pouvez légiférer en ce sens.