Sécuriser le ‘cauchemar’ que représente la sécurité IoT est une opportunité énorme pour les fournisseurs de services
La réglementation pour les objets connectés (IoT) arrive enfin, des années après que de nombreux experts en cyber sécurité, dont Mikko Hypponen, aient appelé les gouvernements du monde entier à prendre des mesures adéquates. Mais pour réparer le ‘cauchemar de la sécurité’ que représente les IoT, toute personne impliquée dans l’accès au web des consommateurs doit insister pour redéfinir les normes de sécurité et de confidentialité pour tous les appareils connectés à Internet.
Une régulation de l’IoT — enfin ?
La législation proposée ferait du Royaume-Uni le premier pays à adopter une législation obligeant les fabricants à sécuriser les dispositifs IoT. Cela ferait du Royaume-Uni un ‘leader mondial de la sécurité en ligne’, selon la ministre du Digital, Margot James.
Cependant, l’île est en retard sur la Californie, qui a adopté une législation similaire fin 2018 qui entrera en vigueur en janvier 2020. Cette loi prévoit des fonctions de sécurité «raisonnables» pour tous les appareils qui se connectent sur Internet «directement ou indirectement».
Alors qu’une législation similaire semble s’être bloquée au Congrès des États-Unis, la législature de l’Oregon va de l’avant avec un projet de loi qui fait écho à la demande de la Californie pour une sécurité «raisonnable» de l’IoT.
Mais le fait que les gouvernements doivent exiger la mise en place de mesures de sécurité élémentaires si tardivement, alors que le nombre d’appareils connectés à Internet représente près du double de la population mondiale, montre à quel point la situation est grave… ainsi que l’ampleur du travail qui reste à être fourni par les gouvernements, les fabricants et les fournisseurs de services Internet.
Intelligent = vulnérable
“A chaque fois qu’un appareil est décrit comme” intelligent “, il est vulnérable”, a tweeté Mikko en décembre 2016.
Il a ensuite développé les implications de la « loi Hypponen» dans « L’Internet des objets (vulnérables) : Sur la loi Hypponen, ingénierie de la sécurité et législation de l’IoT», un article qu’il a co-écrit avec Linus Nyman de la Hanken School of Economics en avril 2017. L’article inclut des recommandations pour les fabricants d’appareils IoT tout en suggérant qu’une législation pourrait être « le seul moyen fiable de sécuriser Internet et ses appareils connectés ».
Tout en reconnaissant les limites imposées par les réglementations gouvernementales, Mikko et Linus ont estimé que de telles mesures pourraient s’avérer nécessaires pour réduire ce fardeau qui a conduit des appareils peu sécurisés à se retrouver dans des millions de foyers en obligeant « tous les fabricants à investir dans des dispositifs de sécurité, créant ainsi des conditions équitables.»
En janvier 2018, «Pinning Down the IoT» – un rapport du Cyber Security Research Institute parrainé par F-Secure décrivait l’état tragique de la sécurité de l’IoT en déclarant sans détour: « L’Internet des Objets (IoT) représente sous sa forme actuelle une menace considérable pour les consommateurs, en raison de réglementations inadéquates concernant sa sécurité et son utilisation “.
Plus tard la même année, Interpol et le FBI ont fait écho à ces préoccupations, avertissant les consommateurs que le moment était venu de sécuriser leurs appareils IoT de la même manière que leurs ordinateurs portables et leurs téléphones portables.
La réglementation est une étape nécessaire, mais n’est qu’une première étape
Pour que vous puissiez vous rendre compte de la piètre sécurité que peuvent engendrer les appareils connectés à Internet, notez que la loi californienne et la législation britannique proposée incluent une disposition spécifique interdisant les mots de passe «par défaut».
Comme indiqué dans un récent rapport F-Secure sur le paysage des menaces IoT, un grand nombre de ces menaces reposent sur des mots de passe par défaut et faibles pour permettre l’infection. Parmi celles-ci, des variantes du botnet Mirai, responsable de l’une des plus grandes attaques par déni de service de l’histoire.
C’est une étape nécessaire. Un tiers des attaques IoT utilisent des mots de passe faibles, a noté Tom Gaffney de F-Secure.
L’utilisation de mots de passe pauvres n’est bien sûr pas propre à l’IoT. Une étude récente a révélé que ‘123456’ est toujours le mot de passe le plus utilisé dans le monde, mais la multitude de webcams, routeurs et autres périphériques IoT connectés est très souvent facilement accessible à ces menaces via des ports Telnet souvent exposés. Et les internautes n’ont souvent pas la possibilité de changer facilement le mot de passe, même s’ils le souhaitent en raison d’une mauvaise conception des appareils.
‘Raisonnable’ n’est pas assez bon
La sécurisation des mots de passe n’est que le début de la sécurité IoT. Les menaces avancées se sont davantage concentrées sur les vulnérabilités inévitables dans le développement de n’importe quel matériel ou logiciel. Ceci nécessite une réglementation stricte.
Bruce Schneier, expert en cyber sécurité, a souligné le flou de la législation californienne, soulignant le risque de réglementations vagues guidant les fabricants qui se sont montrés disposés à produire des dispositifs avec une sécurité insuffisante.
« La moins bonne nouvelle est que la ‘sécurité raisonnable’ reste définie de sorte que les entreprises qui tentent d’éviter de se conformer puissent prétendre que la loi est inapplicable», a-t-il écrit. Encore une fois, les consommateurs peuvent être laissés au caprice des fabricants qui mettent l’accent sur le profit et non la protection. Et les consommateurs ne sont pas les seuls à en souffrir.
Tout est connecté = tout est protégé
Malheureusement, les fournisseurs d’accès à Internet vont probablement devoir subir une grande partie des problèmes causés par des appareils qui fonctionnent mal ou qui fonctionnent mal à cause d’attaques IoT.
Mais ce défi est aussi une opportunité.
Les consommateurs font déjà confiance à leurs fournisseurs d’accès à Internet. Ce qui place ces entreprises dans une position privilégiée pour ouvrir la voie sur ce marché et offrir quelque chose de vraiment précieux: une connectivité sécurisée et privée pour tous, partout.
Brian Ragsdale – Directeur de la gestion des produits grand public chez Windstream, un fournisseur de haut débit au service de plus d’un million de familles américaines dans 18 États -, a déclaré que Windstream était appelé à traiter tout problème susceptible de ralentir la connexion Wi-Fi à domicile.
«Certains facteurs ne peuvent tout simplement pas être contrôlés. Un routeur Wi-Fi au-dessus d’un micro-ondes, par exemple », a-t-il déclaré. “Ou de vieux appareils.”
Mais ils peuvent contrôler la sécurité, alors choisir le bon partenaire en matière de sécurité et de confidentialité fait toute la différence.
Pour F-Secure, protéger les données ne consiste pas uniquement à sécuriser les appareils et le réseau des clients. Il s’agit de la confiance et de la responsabilité des consommateurs de rendre leur vie plus sûre et plus facile.
Windstream travaille avec F-Secure et Actiontec pour offrir une sécurité complète à tous les appareils, avec des contrôles parentaux via un routeur sécurisé et une application unique fournie aux clients.
« Les clients souhaitent une expérience simple et facile », a-t-il déclaré.
La course à la confiance des consommateurs
Les familles ont compris comment ajouter de plus en plus d’appareils à leurs réseaux Wi-Fi domestiques. Et à moins que la sécurité ne soit aussi facile à déployer pour eux, ils seront bloqués par les protections inadéquates qui ont rendu vulnérables jusqu’à 9 routeurs domestiques sur 10.
En 2017, Mikko et Linus ont conseillé à tous les fabricants d’IoT de se considérer comme « un éditeur de logiciels ». Ce conseil n’a manifestement pas été écouté et nous en payons tous les conséquences. Et les enjeux continuent d’augmenter.
« D’ici 2025, beaucoup de personnes auront (consciemment ou non) environ 5 000 interactions numériques par jour ! », a noté Oliver Wyman.
Les gouvernements renforcent enfin leurs exigences envers les fabricants. C’est peut-être trop peu et/ou trop tard.
Mais il reste encore une énorme opportunité pour ceux qui sont prêts à offrir une sécurité optimale et des standards de confidentialité pour la sécurité IoT, qui s’étend à tous les appareils, à la maison comme à l’extérieur, pour devenir le gagnant de la course à la confiance des consommateurs.
Voici l’opportunité : les fournisseurs de services et les autres acteurs de l’écosystème peuvent s’associer à des experts en sécurité établis qui font de leur priorité la confidentialité de leurs clients. Ensemble, ils peuvent offrir à ces derniers un service et une expérience personnalisés, centrés sur l’utilisateur, à domicile et en déplacement.
Ce n’est pas seulement une sécurité ‘raisonnable’ à laquelle les consommateurs ont droit, mais bien une sécurité et une confidentialité exceptionnelles que les familles verront comme un investissement dans leur avenir.
Catégories