Pourquoi les mots de passe devraient-ils être difficiles, à Habrice de parler à nouveau, ce n'est pas nécessaire. On ne peut que rappeler les conséquences de la faible protection des gadgets IoT qui ont été transformés par le virus
Mirai en «zombies», prêts à obéir aux ordres d'un pirate à distance.
Après cela et de nombreux autres incidents, les fabricants d'appareils continuent de négliger la cyber protection des gadgets. Oui, le design et l'UX de beaucoup d'entre eux sont au top, les fonctions sont bonnes. Mais l'utilisation de la plupart des gadgets basés sur le cloud est comme un jeu de "crack me if you can", où le cracker est presque toujours le gagnant.
Dans l'État de Californie, aux États-Unis,
ils ont décidé d'arrêter le jeu et d'obliger les fabricants d'appareils à prendre soin de la sélection de paires complexes de «mot de passe de connexion» pour protéger les gadgets. Tous les systèmes vendus dans l'État devraient être modifiés en conséquence d'ici 2020. La loi définit un certain nombre d'exigences que les développeurs de solutions de réseau matériel doivent satisfaire - que ce soit un routeur, une caméra de surveillance ou un réfrigérateur intelligent.
Le projet de loi a été approuvé en août, et la semaine dernière, il a été signé par le gouverneur de l'État, Jerry Brown.
«Des méthodes de protection faibles des appareils connectés au réseau mettent en danger leurs utilisateurs en Californie et permettent également aux crackers d'utiliser des appareils électroniques contre les propriétaires eux-mêmes», a déclaré un sénateur de l'État qui soutient la loi. "Le document donne la certitude que la technologie fonctionne pour le bénéfice de la population californienne et que la sécurité ne sera plus considérée comme le problème le moins important", a-t-il poursuivi.
En effet, alors que l'Internet des objets évolue progressivement, de plus en plus de gadgets se connectent au réseau - ce ne sont pas seulement des caméras, des capteurs de toutes sortes, mais aussi des micro-ondes, des moniteurs pour bébé, des climatiseurs et d'autres équipements. Immédiatement après avoir connecté tous ces appareils deviennent une cible pour les crackers. Le plus souvent, les cybercriminels ne s'intéressent pas aux gadgets solitaires, mais aux réseaux qui rassemblent des milliers et des milliers d'appareils de ce type. Nous parlons de botnets avec lesquels les pirates peuvent faire beaucoup - des attaques DDoS aux tentatives de piratage des réseaux d'organisations bancaires et financières.
Comme mentionné ci-dessus, les gadgets IoT sont souvent dépourvus de la protection même la plus faible, ce que les crackers utilisent. Ainsi, même un scriptdiddy peut créer un petit botnet à partir des appareils qu'il a craqués. Les résultats de tout cela sont visibles à l'œil nu. Il y a deux ans, des millions d'appareils étaient sous le contrôle de crackers - maintenant, il y a probablement encore plus de tels gadgets. Et plus les fabricants produisent de systèmes IoT pour la maison et le bureau, plus le risque est grand pour les propriétaires de tels systèmes.
Pourquoi la loi
s'adresse-t-elle spécifiquement aux fabricants d'équipements? Le fait est que tous les acheteurs d'appareils connectés n'ont pas le niveau de connaissances techniques nécessaire pour protéger l'appareil acheté contre le piratage de leur propre chef. Oui, il vous suffit de remplacer le groupe banal «admin / admin» par un mot de passe complexe à caractères alphanumériques, et dans la plupart des cas, les botnets ne pourront pas subordonner un tel appareil. Mais un pourcentage relativement faible d'utilisateurs sait comment changer le mot de passe, et ceux qui le changent vraiment sont encore moins.
Récemment, une enquête a été menée, dont le but était de savoir combien d'utilisateurs de gadgets IoT ont essayé de se protéger contre le piratage en remplaçant les données d'administration par défaut. Il s'est avéré qu'environ 82% n'y ont même pas pensé. Quant aux données par défaut, les mots de passe sont loin d'être toujours simples, mais comme le constructeur les publie dans la documentation technique fournie avec les appareils, il n'est pas difficile pour les crackers de retrouver les données d'accès.
La nouvelle loi californienne oblige désormais les fabricants d'équipements à créer une combinaison nom d'utilisateur / mot de passe unique et fiable pour chaque appareil. Bien sûr, ce n'est pas une panacée, mais toujours un changement définitif dans la question du renforcement des politiques de cybersécurité par les fabricants de gadgets IoT. Peut-être que, malgré les modifications de la législation des États, les fabricants n'attendront pas que d'autres États et pays les obligent à faire de même, mais modifieront leur politique de cybersécurité dans le sens d'un renforcement préalable.