Les réglementations peuvent-elles garantir la sécurité des appareils connectés ?

Kevin Townsend, 10 juillet 2019

Bien qu'on soit tenté de répondre que oui, il se pourrait qu’il en soit tout autrement.

Récemment, nous avons jeté un œil à certaines des menaces provenant des dispositifs intelligents ou connectés du domicile, et aux solutions pour y remédier. Ces menaces apparaissent car les appareils ne sont pas sécurisés lorsqu’on les achète. Une solution évidente semble s’imposer : s’assurer que les appareils soient sécurisés avant l'achat.

Puisque ce n’est actuellement pas le cas, peut-être qu’une loi est de rigueur.

De façon arbitraire, nous pouvons séparer les appareils connectés en trois catégories : l’Internet des Objets (ou objet connecté) des entreprises (utilisé par les entreprises en guise de technologie d’information) ; l’IdO industriel (utilisé par les entreprises en guise de technologie opérationnelle); et l’IdO grand public (les appareils intelligents à destination du grand public et que nous retrouvons dans nos foyers).

La bonne nouvelle est qu’à travers le monde, de nombreux organismes de normalisation s’affairent à développer des normes pour les objets connectés. La mauvaise, c’est que seuls deux corps législatifs ont sérieusement essayé de contrôler la sécurité de les objets connectés des consommateurs. Il s’agit de l’état de Californie et du Royaume-Uni.

En septembre 2018, Jerry Brown, alors gouverneur de Californie, avait promulgué une loi sur la cybersécurité, la Security of Connected Devices ou « Sécurité des dispositifs connectés » en français (SB327 pour être exact). Elle entrera en vigueur en janvier 2020. Mais, en dehors de ses exigences en matière de mots de passe qui sont saluées, la loi est considérée comme faible.

La loi demande pour chaque appareil manufacturé d'avoir un mot de passe unique, et qu’il « nécessite un utilisateur pour générer un nouveau moyen d’authentification avant que l’accès à l’appareil ne soit accordé pour la première fois. » Pour le reste, l’exigence de caractéristiques de sécurité « raisonnables » et « appropriées » est vue comme dénuée de sens, les fabricants ne pouvant pas savoir ce que ces deux mots veulent vraiment dire.

Le projet de loi du Royaume-Uni

Il ne reste donc plus que le projet de loi du Royaume-Uni. Si ce projet de loi fonctionnait, il pourrait améliorer la sécurité des appareils intelligents au Royaume-Uni et partout ailleurs : les fabricants ne vont pas construire des appareils sécurisés destinés au Royaume-Uni et des appareils non sécurisés pour le reste du monde. En outre, encore une fois dans le cas où ce projet fonctionnerait, il pourrait inspirer des lois similaires dans les autres pays et les États des États-Unis, à l’instar du RGPD de l’UE qui sert de modèle dans le monde entier en ce qui concerne les nouvelles lois sur la vie privée.

Dans cet article, nous examinerons la proposition de loi et essayerons de voir si elle sera efficace.

La loi

Le Royaume-Uni a une approche traditionnelle de la législation des entreprises. En premier lieu, il demande l’observation volontaire d’un code de pratique acceptable, avec souvent l’avertissement explicite que si ce code de pratique n’est pas volontairement respecté, la loi le rendra obligatoire.

En octobre 2018, le Département du Numérique, de la Culture, des Médias et du Sport (DCMS) a publié un Code de pratique pour la sécurité de l’IdO des consommateurs. Il comporte 13 directives distinctes permettant d’assurer la sécurité des appareils intelligents, allant d’une disparition des mots de passe par défaut à une politique de vulnérabilité de divulgation facilitant l’effacement des données personnelles des utilisateurs.

Ces directives sont volontairement plus axées sur les résultats que normatives : elles décrivent l’objectif à atteindre, mais pas la façon de l’atteindre. Cependant, elles restent bien plus explicites que les exigences de la loi californienne.

Les fabricants ont largement ignoré le code de pratique volontaire du Royaume-Uni. Dans le commerce, il faut qu’une chose soit obligatoire pour qu’elle soit faite. En mai, le gouvernement du Royaume-Uni a entamé sa transition du volontaire à l’obligatoire. Le DCMS a publié une Consultation sur les propositions de réglementation du gouvernement concernant la sécurité de l’Internet des Objets (IdO) grand public.

Le gouvernement progresse lentement, mais son intention de réguler le marché des appareils domestiques intelligents ne fait aucun doute. Son projet est d’utiliser le code de pratique et d’introduire les 13 exigences par étapes, en commençant avec les trois premières. En voici la liste :

  1. Tous les mots de passe des appareils constituant un objet connecté doivent être uniques et ne doivent pas pouvoir être réinitialisés à une valeur d’usine universelle par défaut.
  2. Dans le cadre d'une politique de divulgation des vulnérabilités, le fabricant doit mettre à disposition un point de contact public afin que les chercheurs en sécurité et les autres utilisateurs puissent signaler des problèmes.
  3. Les fabricants devront déclarer de façon explicite la durée minimum sur laquelle le produit recevra des mises à jour de sécurité.

Cette consultation ne vise pas à savoir si cette loi devrait être mise en place, mais comment elle devrait l’être.

C’est là que le Royaume-Uni se heurte au même problème que tous les gouvernements souhaitant réguler la technologie : comment le faire sans entraver l’innovation en matière de produits ainsi que l’activité commerciale ?

« Nous sommes conscient du risque de saper l’innovation et de faire peser un lourd fardeau sur les fabricants de tous types et de toutes tailles », déclare le gouvernement du Royaume-Uni, « c’est pourquoi nous avons œuvré à définir ce qu’on peut considérer comme étant une sécurité de base, en accord avec les trois premières directives du Code de pratique. » En vérité, cette opposition entre réglementation et innovation est une équation difficile à résoudre.

Mais il existe un deuxième problème qui peut être résolu : comment imposer une réglementation nationale à des fabricants étrangers ? La réponse immédiate est que c’est impossible, et que le gouvernement imposera donc plutôt ces réglementations sur les revendeurs du Royaume-Uni que sur les fabricants étrangers.

Mise en œuvre

La consultation en cours vise à déterminer laquelle de ces trois méthodes de mise en œuvre doit être adoptée. Elles ont toutes pour point de départ l’apposition d'un label de sécurité sur les produits par le fabriquant ainsi que l’interdiction au Royaume-Uni de revendre tout produit ne bénéficiant pas du label de sécurité du fabricant.

Les trois options de mise en œuvre sont les suivantes :

  • Option A : Exiger des revendeurs qu’ils ne vendent que des produits IdO grand public bénéficiant du label de sécurité IdO en laissant aux fabricants le soin de déclarer et de mettre en place eux-mêmes le label de sécurité pour leurs produits IdO grand public.

  • Option B : Exiger des revendeurs qu’ils ne vendent que des produits IdO grand public respectant les trois premières directives, en laissant les fabricants se charger de déclarer eux-mêmes que leurs produits IdO grand public sont conformes aux trois premières directives du Code de pratique concernant la sécurité de l’IdO ainsi qu’à l’ETSI TS 103 645.

  • Option C : Exiger des revendeurs qu’ils ne vendent que des produits IdO avec un label prouvant la conformité à chacune des 13 directives du Code de pratique, et demander aux fabricants de déclarer eux-mêmes ces labels et de s’assurer qu’ils sont placés sur les bons emballages.

Mais il y a un hic. Ces trois options exigent toutes une déclaration de sécurité de la part du fabricant. En d’autres termes, le gouvernement introduit une loi volontaire obligatoire. Dans son format actuel, l’application de cette loi dépend de la force du marché La loi ne peut pas forcer les fabricants étrangers à construire des appareils sécurisés, mais elle peut punir les revendeurs du Royaume-Uni s’ils les vendent. Elle fait pression sur le revendeur pour forcer le fabriquant à obtempérer.

Si l’histoire des lois nous a appris quelque chose, c’est bien que le fabricant comme le revendeur choisiront la solution qui les arrangera le plus. Tous deux interprèteront les exigences de la façon la plus libre possible.

C’est la façon dont le gouvernement agira ensuite qui décidera du succès ou de l’échec de cette loi. Voici par exemple ce que déclare le DCMS : « Dès que le calendrier parlementaire le permettra, nous comptons créer une législation primaire qui donnera au Secrétaire d’État au DCMS le pouvoir d’établir les exigences d’un plan de labellisation mandaté et/ou de fixer les exigences de sécurité concernant les appareils vendus au Royaume-Uni. Ces exigences seraient présentées lors de la législation secondaire. »

Au Royaume-Uni, la législation secondaire ne requiert pas le vote de la Chambre du Parlement, mais simplement l’aval du Secrétaire d’État concerné. Le DCMS déclare également que le gouvernement a pour intention de rendre obligatoires les 13 directives du Code de pratique. Une fois les trois exigences initiales entrées dans la loi, il serait en théorie possible pour le gouvernement d’exiger les 10 directives restantes du Code de pratique à raison d’une par mois sur les 10 mois suivants ou même d’exiger toute autre directive jugée appropriée.

La loi du Royaume-Uni garantira-t-elle un IdO grand public plus sécurisé ?

Marchera-t-elle ? C’est la question à 64 millions de dollars. C’est possible, mais ce ne sera probablement pas le cas. En tous cas pas avec l’efficacité espérée.

Il existe deux difficultés fondamentales. La première est l’auto-déclaration de sécurité des fabricants. Les nouveaux et les petits fabricants avec une bonne idée en tête continueront à s’empresser de mettre leur produit sur le marché avant leurs concurrents et, dans leur empressement, ils mettront l’accent sur les fonctionnalités au détriment de la sécurité et exagèreront les mérites de la sécurité grâce aux labels.

Des produits non sécurisés atteindront quand même le marché, et en quoi les consommateurs y gagneront-ils si neuf appareils intelligents sur dix protègent des pirates informatiques mais que le dixième les laisse entrer ?

Le deuxième problème est un problème connexe : qui est en droit de dire si un produit est conforme ou non ? La solution standard à de tels problèmes serait d’introduire une certification obligatoire par un tiers, ce qui pourrait être facile à faire avec la législation secondaire. Mais alors, qui paiera les tests de produits nécessaires ?

Si c’est les fabricants, ils pourraient tout bonnement arrêter de vendre au Royaume-Uni, qui n’est qu’un pays parmi d’autres dans un marché mondial immense.

Si c’est les revendeurs, ils pourraient se retrouver exclus du marché, et le Royaume-Uni en pénurie d’appareils domestiques intelligents. L’utilisateur serait alors tenté d’acheter des produits étrangers non sécurisés et non testés sur des sites étrangers.

Évidemment, le gouvernement est au courant de ces problèmes et espère que le marché s’accommodera d’une mise en œuvre par étapes ne demandant jamais trop à la fois. Seul le temps nous dira si cette stratégie fonctionnera.

Mais en vérité, ce problème ne peut être résolu uniquement par la loi. L’opération sera surtout couronnée de succès si de très nombreux États américains et gouvernements dans le monde comprennent l’utilité d’une telle approche et font passer des lois exigeant les mêmes choses. Seul un mouvement de cet ampleur pourra forcer les fabricants IdO à construire des appareils IdO grand public sécurisés.

En attendant, il nous incombe à tous de prendre les précautions nécessaires et de ne pas partir du principe que les appareils que nous achetons seront sécurisés. Comme le montre une nouvelle étude d’Avast et de l’université de Stanford, nous en sommes encore à découvrir à quel point le monde de l’IdO est exposé aux dangers.

Articles liés