Sécuriser l’IoT : une loi en vue aux Etats-Unis

Un texte de loi visant à imposer des standards de sécurité à tout dispositif connecté utilisé par le gouvernement américain va prochainement être examiné par le Sénat des Etats-Unis. La législation a été conçue en réponse aux cyberattaques massives de 2016, qui avaient exposé au grand jour les faiblesses structurelles de la sécurité de l’IoT. En particulier, le blocage du prestataire de DNS Dyn, avec ses conséquences sur des services majeurs de l’Internet, avait montré le potentiel destructeur des vulnérabilités de centaines de milliers de dispositifs IoT.

Le « IoT Cybersecurity Improvement Act » vise à utiliser le poids des achats du gouvernement américain pour relever le niveau de sécurité des objets connectés. En particulier, le texte va obliger les fournisseurs à s’assurer que leurs terminaux peuvent bien être patchés à distance, qu’ils ne renferment pas de mots de passe codés en dur (autrement dit non modifiables) et qu’ils ne possèdent pas de vulnérabilités connues au moment où ils sont vendus. Les agences gouvernementales se verraient également imposer un audit des objets connectés en usage dans leur périmètre respectif.

Des contraintes aussi en Europe ?

La future législation américaine devrait également faciliter le travail des chercheurs en sécurité, travaillant « de bonne foi » à la divulgation des failles. Ces derniers restaient jusqu’alors sous la menace de plusieurs textes répressifs parfois utilisés pour les intimider (en particulier le Computer Fraud and Abuse Act).

En Europe, suite à ces mêmes attaques par DDoS utilisant le détournement d’objets connectés insuffisamment sécurisés, la Commission planche sur un corpus de règles qui pourraient imposer aux constructeurs d’objets connectés de se conformer à des standards de sécurité et d’en passer par des certifications afin de garantir le respect de la vie privée des utilisateurs.

Sécurité et IoT : pourquoi le pire est encore à venir