La Californie
a adopté la sécurité des appareils IoT SB-327. Il oblige les développeurs de systèmes intelligents à créer une paire nom d'utilisateur / mot de passe unique pour eux. Le document a déjà été signé par le gouverneur de l'État. Nous parlons de l'opinion de la communauté et de l'impact de la nouvelle loi sur le développement de l'industrie.
/ Flickr / al king / ccQuelle est l'essence
Le SB-327 , appelé Information Security: Connected Devices, a
été développé par les sénateurs californiens depuis février dernier. «Appareils connectés» dans ce cas fait référence à tous les gadgets qui ont une connexion Internet, une adresse IP ou Bluetooth.
La sénatrice Hannah-Beth Jackson, qui est l'auteur du projet de loi, a
déclaré qu'une telle loi aurait dû exister depuis longtemps. Selon elle, les consommateurs ordinaires sont rarement intéressés par les problèmes de sécurité des gadgets qu'ils achètent, car les développeurs ne sont pas pressés de corriger les failles de sécurité.
Le problème est particulièrement important dans le cas des jouets pour enfants. À titre d'exemple, dans des ajouts au projet de loi, les sénateurs citent la situation des poupées My Friend Cayla (
Sénat, analyses du 28/08/18 ). Ils peuvent communiquer avec des enfants et transmettre des enregistrements aux serveurs du fabricant, par exemple, pour analyser une question et y trouver une réponse. Cela crée une vulnérabilité potentielle pour les données personnelles de l'enfant. Pour cette raison, la
vente de ces poupées était généralement
interdite en Allemagne.
La principale exigence de la loi californienne
est que chaque fabricant d'appareils IoT devra fournir à ses gadgets un «équipement de protection approprié». Le degré de protection dépend de la fonction de l'appareil et des informations qu'il utilise et transmet.
La loi ne dit pas ce que l'on entend par «protection appropriée», mais les exigences relatives aux mécanismes d'authentification sont énoncées. Si l'appareil connecté a accès à Internet, son système d'authentification doit satisfaire à l'un des deux critères. Tout d'abord, le fabricant crée lui-même des combinaisons uniques de connexion et de mot de passe pour chaque appareil individuel. La seconde - le développeur oblige l'acheteur à modifier les données d'usine standard pour la connexion lors de la première utilisation de l'équipement.
La loi couvre toutes les entreprises qui fabriquent ou vendent des appareils IoT en Californie. Le SB-327 entrera en vigueur le 1er janvier 2020.
Opinions sur la loi
La nouvelle loi a été respectée de manière ambiguë. Certains utilisateurs et experts ont convenu que l'interdiction des mots de passe standard au moins un peu, mais augmenterait la sécurité des appareils IoT. Cependant, l'absence d'autres exigences spécifiques pour les fabricants a dérouté la communauté.
Les experts en cybersécurité ont adopté la loi avec scepticisme. L'un des principaux critiques était Robert Graham, un expert en cybersécurité chez Errata Security. Robert
écrit que le libellé des «recours» est trop vague, il sera donc difficile pour les organisations de définir des critères pour répondre aux exigences de la loi.
De plus, il est impossible de spécifier dans la loi des moyens de contrer des menaces spécifiques, car de nouveaux types d'attaques apparaissent constamment. Graham estime que les moyens de protéger l'IoT ne peuvent pas être définis par la loi, et le SB-327 ne fera qu'augmenter le coût de fabrication des appareils intelligents.
La loi est également inutile de l'
avis de Joe Lea, vice-président du produit Armis. Son entreprise crée une plateforme pour protéger les réseaux IoT. Selon Joe, la sécurité de l'Internet des objets est une industrie complexe qui ne se limite pas aux problèmes de mot de passe pour les appareils.
Un certain nombre d'experts en sécurité de l'information ont soutenu le nouveau projet de loi. L'une de ces personnes était Beau Woods, spécialiste de la sécurité au groupe de réflexion du Conseil de l'Atlantique. Selon lui, une formulation vague dans la législation a été utilisée intentionnellement. Cela permettra aux entreprises de développer indépendamment des exigences de protection des appareils.
De nombreux experts estiment que même une loi imparfaite vaut mieux que son absence. L'auteur et cryptographe de la cybersécurité Bruce Schneier a
déclaré que le SB-327 est un pas dans la bonne direction, bien que ce document ne soit pas suffisant pour réglementer pleinement l'IoT.
«La loi devrait aider à résoudre le problème de l'accès non autorisé aux appareils. Cependant, ce n'est pas une panacée », commente Sergey Belkin, chef du département de développement du service de location d'infrastructures dans le cloud 1cloud.ru . - Les mots de passe uniques et forts devraient compliquer le piratage des gadgets intelligents à l'aide d'une recherche de dictionnaire banale. Cependant, il existe de nombreuses autres façons d'accéder aux périphériques, comme la nouvelle liaison DNS . Ce type d'attaque affecte plus d'un demi-milliard d'appareils IoT dans le monde. »
Les utilisateurs soutiennent généralement l'initiative du gouvernement californien. Les résidents de Hacker News
notent que les mots de passe des fabricants peuvent être trop prévisibles et correspondre au numéro de série. Mais cette solution est meilleure que le mot de passe standard pour tous les appareils du même modèle.
Certains utilisateurs trouvent la loi vide de sens. Un intervenant sur Slashdot a
indiqué que le plus souvent, les problèmes de sécurité des appareils IoT ne sont pas résolus en changeant le mot de passe et sont associés à des vulnérabilités dans le micrologiciel et les modules logiciels. Par exemple, en 2017, un bogue a été
découvert dans la bibliothèque gSOAP, qui est utilisée par les fabricants d'appareils IoT. Au cours de la démonstration, des experts en sécurité ont fait irruption dans une caméra à domicile et en ont reçu une image.
Qui d'autre rédige des lois pour l'IoT
Ce n’est pas seulement la Californie qui s’emploie à protéger l’Internet des objets. Au cours de la dernière année, plusieurs projets sur ce sujet ont été soumis au Congrès américain. Parmi eux, la loi sur la sécurisation de l'Internet des objets de 2017 et la loi sur l'amélioration de la cybersécurité de l'Internet des objets de 2017, qui obligent les agences fédérales à élaborer des exigences de sécurité standard pour les appareils IoT.
Avant cela, le gouvernement américain a publié des lignes directrices pour les fabricants d'appareils intelligents, qui ont recueilli des recommandations pour protéger les données personnelles des utilisateurs. Par exemple, un tel
document a été publié en 2015 par la Federal Trade Commission (FTC).
/ Flickr / coniferconifer / CCEn Europe, il existe également des documents similaires, notamment la
directive sur la sécurité des réseaux et des systèmes d'information (directive SRI), adoptée en juillet 2016. Il ne traite pas directement de l'Internet des objets, mais il établit des exigences pour la protection des systèmes d'entreprise dans les domaines critiques: l'énergie, la finance, les soins de santé et l'industrie des transports. Le document ne contient qu'une liste de règles et chaque État de l'Union européenne devrait déterminer ses méthodes de mise en œuvre de manière indépendante.
La loi sur la protection des appareils IoT est également en
cours d'élaboration par le gouvernement australien. Selon les politiciens, ils cherchent à créer un document équilibré qui protégera les consommateurs et ne limitera pas l'innovation dans l'IoT. Pour ce faire, le régulateur est en dialogue avec les représentants de l'industrie. Jusqu'à présent, les politiciens ne discutent que des exigences imposées aux fabricants d'appareils intelligents.
Ainsi, la loi californienne a été la première à formuler des exigences générales pour tous les fabricants d'appareils IoT. Et bien qu'elle soit imparfaite, on
pense que la directive deviendra un guide pour d'autres pays et commencera des travaux actifs sur la sécurité des gadgets intelligents.
Du nouveau matériel sur notre blog d'entreprise: