Je reviens tout juste du CES, dont pratiquement toutes les allées regorgeaient de dispositifs connectés (ou de l’IdO). Mais dans quelle mesure sont-ils sécuritaires? Alors que nous promouvons la sécurité de ces dispositifs depuis un certain temps déjà, les développeurs d'IdO ont été lents à les adopter. Les législateurs californiens en ont pris bonne note en 2018, et il semble maintenant que les législateurs du Royaume-Uni veuillent eux aussi passer à l'étape suivante.

Bien qu'il ne soit pas certain que la législation proposée sera adoptée, voilà ce que les députés britanniques avaient à dire :


« Alors que le gouvernement britannique a précédemment encouragé l'industrie à adopter une approche volontaire, il est maintenant clair qu'une action décisive est nécessaire pour s'assurer que la conception de ces produits intègre une forte cybersécurité. La vie privée et la sécurité des citoyens ne doivent pas être mises en danger parce que certains fabricants ne prendront pas la responsabilité de s'assurer que la sécurité est intégrée dans leurs produits avant qu'ils n'atteignent les consommateurs britanniques ».

Que la législation soit adoptée ou non, cela envoie un signal fort à l'industrie que l'intervention du gouvernement semble probable. Alors que d'autres pays peuvent adopter une approche attentiste, il semble probable que d'autres lois seront promulguées dans le monde entier au fil du temps.

La bonne nouvelle est que les mesures de sécurité de base pour les appareils connectés ne sont pas trop lourdes. Exiger du nouveau propriétaire qu'il modifie le mot de passe par défaut lors de la première connexion d'un utilisateur est une mesure que le secteur connaît depuis un certain temps et qui n'est pas coûteuse à mettre en œuvre.

Fixer une durée de vie pour les mises à jour de microprogrammes coûte certainement plus cher, car les entreprises paieraient pour prendre en charge des microprogrammes qui ne généreraient plus de revenus directs. Les entreprises qui ont une vision à plus long terme ont tendance à penser déjà dans ce sens, mais les forcer à indiquer quand l'assistance prendra fin la met en évidence.

Il n'est pas certain que les clients comprennent l'importance de connaître la durée de vie du support jusqu'à ce qu'il prenne fin des années plus tard et que les vulnérabilités soient alors découvertes.

L'industrie contrecarre cette tendance en encourageant les clients à mettre à jour fréquemment leurs plateformes à la lumière des nouvelles avancées technologiques, mais ce n'est pas toujours le cas. On connait tous quelqu'un qui continue d’utiliser activement d’un routeur domestique vieux de 5 ou 10 ans, dont le soutien du fabricant a expiré depuis longtemps.

C'est bien là tout le problème.

Nous voyons des attaques récentes contre nombre de routeurs courants qui ne montrent aucun signe d'être bientôt mis à la retraite. Ces machines, une fois zombifiées, peuvent être utilisées pour lancer et amplifier des attaques dans le monde entier, souvent à l'insu de leurs propriétaires.

Lectures complémentaire : Comment sécuriser son routeur pour parer la prochaine cyberattaque

Une dernière chose : le législateur britannique cherche à obliger les entreprises à maintenir un point de contact en matière de sécurité, ce qui est tout à fait impossible à trouver aujourd'hui, surtout dans les petites entreprises.

Cette législation va-t-elle ralentir l'innovation? Un peu. Il faut espérer que les changements proposés ne nécessiteront que des efforts modérés de la part des bons acteurs pour les mettre en œuvre. Bref, que ce projet de législation proposé devienne ou non une loi, d’autres législations seront en vigueur bientôt; les fabricants feraient bien d'en prendre note.