Un texte de loi visant à imposer des standards de sécurité à tout dispositif connecté utilisé par le gouvernement américain va prochainement être examiné par le Sénat des Etats-Unis. La législation a été conçue en réponse aux cyberattaques massives de 2016, qui avaient exposé au grand jour les faiblesses structurelles de la sécurité de l’IoT. En particulier, le blocage du prestataire de DNS Dyn, avec ses conséquences sur des services majeurs de l’Internet, avait montré le potentiel destructeur des vulnérabilités de centaines de milliers de dispositifs IoT.
Le « IoT Cybersecurity Improvement Act » vise à utiliser le poids des achats du gouvernement américain pour relever le niveau de sécurité des objets connectés. En particulier, le texte va obliger les fournisseurs à s’assurer que leurs terminaux peuvent bien être patchés à distance, qu’ils ne renferment pas de mots de passe codés en dur (autrement dit non modifiables) et qu’ils ne possèdent pas de vulnérabilités connues au moment où ils sont vendus. Les agences gouvernementales se verraient également imposer un audit des objets connectés en usage dans leur périmètre respectif.
La future législation américaine devrait également faciliter le travail des chercheurs en sécurité, travaillant « de bonne foi » à la divulgation des failles. Ces derniers restaient jusqu’alors sous la menace de plusieurs textes répressifs parfois utilisés pour les intimider (en particulier le Computer Fraud and Abuse Act).
En Europe, suite à ces mêmes attaques par DDoS utilisant le détournement d’objets connectés insuffisamment sécurisés, la Commission planche sur un corpus de règles qui pourraient imposer aux constructeurs d’objets connectés de se conformer à des standards de sécurité et d’en passer par des certifications afin de garantir le respect de la vie privée des utilisateurs.
A lire aussi :
Comment transformer l’enceinte Amazon Echo en espion
Sécurité et IoT : pourquoi le pire est encore à venir
FT Group, éditeur du Financal Times, a signé un accord avec OpenAI afin d'utiliser ses…
Au premier trimestre, Microsoft, Meta/Facebook et Alphabet/Google ont déjà investi plus de 32 milliards $…
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…