Un texte de loi visant à imposer des standards de sécurité à tout dispositif connecté utilisé par le gouvernement américain va prochainement être examiné par le Sénat des Etats-Unis. La législation a été conçue en réponse aux cyberattaques massives de 2016, qui avaient exposé au grand jour les faiblesses structurelles de la sécurité de l’IoT. En particulier, le blocage du prestataire de DNS Dyn, avec ses conséquences sur des services majeurs de l’Internet, avait montré le potentiel destructeur des vulnérabilités de centaines de milliers de dispositifs IoT.
Le « IoT Cybersecurity Improvement Act » vise à utiliser le poids des achats du gouvernement américain pour relever le niveau de sécurité des objets connectés. En particulier, le texte va obliger les fournisseurs à s’assurer que leurs terminaux peuvent bien être patchés à distance, qu’ils ne renferment pas de mots de passe codés en dur (autrement dit non modifiables) et qu’ils ne possèdent pas de vulnérabilités connues au moment où ils sont vendus. Les agences gouvernementales se verraient également imposer un audit des objets connectés en usage dans leur périmètre respectif.
La future législation américaine devrait également faciliter le travail des chercheurs en sécurité, travaillant « de bonne foi » à la divulgation des failles. Ces derniers restaient jusqu’alors sous la menace de plusieurs textes répressifs parfois utilisés pour les intimider (en particulier le Computer Fraud and Abuse Act).
En Europe, suite à ces mêmes attaques par DDoS utilisant le détournement d’objets connectés insuffisamment sécurisés, la Commission planche sur un corpus de règles qui pourraient imposer aux constructeurs d’objets connectés de se conformer à des standards de sécurité et d’en passer par des certifications afin de garantir le respect de la vie privée des utilisateurs.
A lire aussi :
Comment transformer l’enceinte Amazon Echo en espion
Sécurité et IoT : pourquoi le pire est encore à venir
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…