Le gouvernement anglais a récemment introduit une nouvelle loi votée en janvier dernier, qui vise à augmenter le niveau de sécurité global de tous les objets connectés, rassemblés sous l’appellation Internet of Things (IoT).
La Loi sur la Sécurité des Produits et l’Infrastructure de Télécommunication a ainsi été publiée au journal officiel anglais hier. Elle introduit de nouvelles normes de sécurité pour tous les acteurs qui produisent, importent et distribuent des appareils capables de se connecter à Internet. Cela comprend aussi les connexions indirectes d’appareils qui se connectent à un relais lui-même connecté au web; un cas de figure qui concerne par exemple de nombreuses solutions domotiques, comme des thermostats ou ampoules connectés.
Les mots de passe universels désormais illégaux
Cela commence par l’interdiction pure et simple des mots de passe universels par défaut, comme le célèbre “admin“, qui sont désormais bannis de l’écosystème informatique anglais. Une mesure extrêmement simple et qui ne coûtera quasiment rien, mais qui devrait néanmoins être rudement efficace; car si le bon sens suggère évidemment de le changer immédiatement, la réalité est très différente en pratique.
Selon InfoSecurity, près de 30% des particuliers ne changeraient pas le mot de passe par défaut de leurs appareils connectés. Encore pire : selon une étude relayée par TechRepublic, même 40% des professionnels de la sécurité informatique conserveraient la valeur par défaut ! C’est un vrai désastre en termes de sécurité; ces identifiants par défaut sont souvent disponibles dans un manuel, voire en accès libre sur Internet. Cela constitue une surface d’attaque non seulement triviale à exploiter, mais aussi très connue; c’est donc un véritable jeu d’enfant de s’y introduire. Et la formule n’est pas exagérée. En 2014, deux hackers canadiens ont par exemple réussi à accéder au système de la Banque de Montréal grâce au mot de passe par défaut; ils étaient alors âgés de… 14 ans.
Davantage de transparence
En plus de cette mesure de bon sens, le gouvernement veut aussi améliorer la transparence sur les failles. Cela passe par l’introduction d’un nouveau système de rapport pour documenter rapidement chaque nouvelle vulnérabilité. Les entreprises devront aussi justifier en détail comment elles répondent à chaque brèche de sécurité. Au Royaume-Uni, il ne sera plus possible pour une marque d’affirmer qu’elle a pris “toutes les mesures nécessaires” pour sauver la face après une attaque; elle devra désormais le prouver et se justifier.
Dans le cas contraire, les entreprises s’exposent à des amendes qui peuvent atteindre 10 millions de livres. Le régulateur a également le pouvoir de forcer une entreprise à se mettre en conformité; dans le cas contraire, il dispose de l’autorité nécessaire pour retirer les produits de la vente.
Responsabiliser l’industrie pour protéger les consommateurs
Avec cette loi, le gouvernement anglais s’attaque à un problème majeur, mais trop souvent ignoré. En Europe, chaque domicile compte aujourd’hui entre 5 et 10 appareils connectés en moyenne. Mais ils ont beau se démocratiser, ces objets restent de véritables passoires en termes de sécurité informatique. S’ils ne sont pas consciencieusement protégés, ils représentent donc autant de surfaces d’attaques potentielles. Et bien souvent, celles-ci sont largement plus faciles à exploiter qu’un ordinateur fixe dont l’antivirus est régulièrement mis à jour.
Cette loi n’est bien évidemment pas une solution miracle; mais bien souvent, quelques mesures de base comme celle-ci permettent d’empêcher une grande partie des attaques les plus basiques sans efforts et à moindre frais. C’est aussi un ensemble de mesures important, voire absolument indispensable pour la sécurité des utilisateurs plus âgés ou moins à l’aise; ces personnes ignorent parfois complètement les risques, et ne disposent pas forcément des compétences techniques pour faire les modifications elles-mêmes. Espérons donc que d’autres pays, dont la France, s’inspirent à l’avenir.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Ca va etre beau car ce « admin » m a qq fois sauve a l epoque qd les clients avaient oublie leurs psw et le label illisible