Un nouveau standard pour certifier la sécurité des objets connectés, bonne ou mauvaise idée ?

Publié le 21 mars 2024 à 10h06

Les objets connectés sont de plus en plus communs, tout comme la cybercriminalité. Alors, pour repérer facilement les entreprises qui jouent le jeu de la sécurité, rien de tel qu'un nouveau standard.

Des fours qui se lancent de leur propre chef, des caméras de surveillance qui vous surveillent à votre insu ou des aspirateurs robots qui se mettent en marche en dehors de leur programme. Non, il ne s'agit pas d'un passage d'un épisode de Spirou ou de Black Mirror, mais d'un risque réel pour des millions d'utilisateurs.

En effet, chaque appareil connecté dans votre maison est un point d'ancrage supplémentaire pour les acteurs malveillants. Mais, pas de panique, une nouvelle norme devrait vous permettre de dormir sur vos deux oreilles, et ce, d'ici à la fin de l'année.

Un cahier des charges pour guider l'achat des consommateurs

Nous n'y prêtons plus trop attention, mais nos appareils électroniques sont couverts de logos de divers standards et autres normes, généralement sur leur emballage, mais également sur eux-mêmes. Si certains diront que ce n'est que le résultat d'une administration complexe et laborieuse, ce sont surtout d'excellents outils pour permettre aux consommateurs de savoir ce qu'ils achètent.

C'est ce que la Connectivity Standards Alliance (CSA) souhaite apporter au niveau de la cybersécurité des objets connectés. Soutenue par plus de 200 entreprises, dont Google, Amazon, Signify et Arm, l'organisation vient d'annoncer la mise en place de la norme Product Security Verified (PSV) dans sa première version.

Les fabricants souhaitant s'y conformer devront répondre à un cahier des charges précis et soumettre leurs produits à un laboratoire agréé. La CSA exige, entre autres, que les données sensibles des appareils soient sécurisées, que des mises à jour de sécurité soient déployées tout au long de leur support, ou encore qu'ils ne possèdent pas de mots de passe codés en dur. La liste devrait s'allonger au fil du temps, de sorte que la norme évoluera avec l'apparition des futures études du groupe de travail qui en est à l'origine, mais également avec l'apparition de nouvelles menaces.

Ce monsieur a-t-il pu vérifier que ses objets connectés sont sécurisés ? © Gorodenkoff / Shutterstock

« Les recherches montrent continuellement que les consommateurs considèrent la sécurité comme un facteur d'achat important », explique Eugene Liderman, directeur de la stratégie de sécurité mobile chez Google, à The Verge. « Des programmes comme celui-ci leur donneront un indicateur simple et facilement identifiable à rechercher. »

Une certification sérieuse, mais encore perfectible

Pour éviter les fraudes, un code QR permettra « aux consommateurs d'accéder à plus d'informations sur les caractéristiques de sécurité de l'appareil », explique la CSA dans un communiqué de presse. En outre, l'organisation mettra à disposition une base de données contenant les produits qu'elle a certifiés, et la rendra accessible aux services de domotique tels que Google Home, leur permettant d'afficher des informations sur la cybersécurité lors de l'installation d'un nouvel objet connecté.

Chaque produit certifié devra subir une nouvelle batterie de tests au bout de trois ans, afin que la norme PSV corresponde le plus possible aux spécifications actuelles de la CSA. Toutefois, selon Tobin Richardson, directeur général de l'organisation, les entreprises restent gagnantes. Cette certification est en passe d'être reconnue au niveau mondial, ce qui simplifiera la mise en conformité avec les réglementations de plusieurs pays en une seule étape. En effet, il s'agit d'un savant mélange de normes de sécurité établies par différents gouvernements à travers le monde. Et, si seul Singapour l'a officiellement reconnue pour le moment, les États-Unis, l'Union européenne et le Royaume-Uni devraient lui emboîter le pas.

A découvrir

Sécurité : dois-je vraiment protéger tous les appareils de la maison ?

29 mars 2024 à 10h20

Décryptage

Selon Steve Hanna, chercheur en cybersécurité qui a présidé le groupe de travail à l'origine de la PSV, celle-ci est loin d'être parfaite, et il souhaiterait y incorporer d'autres éléments. Toutefois, « C'est un grand pas en avant que d'avoir une certification de sécurité mondiale », déclare-t-il. « C'est tellement mieux que de ne pas l'avoir. » Pour sa part, Liderman insiste sur le fait que cette norme ne garantit pas qu'un appareil soit exempt de vulnérabilités.

Les produits déjà présents sur le marché pourront passer la batterie de tests de la CSA et obtenir sa certification. Selon Richardson, les ampoules, les interrupteurs, les thermostats ou encore les caméras de surveillances déjà présentes dans votre maison pourraient être certifiées PSV d'ici à la fin de l'année.

Source : The Verge

Par Maxence Glineur

Geek hyper connecté et féru de podcasts, je suis toujours en train de lire ou écouter des points infos en tout genre. Entre histoire, tech, politique, musique, jeux-video et vulgarisation scientifique : toute l'actualité (ou presque) attise ma curiosité. Sinon, j'aime le rock et le lofi, les game-nights toujours trop longues, les bons films et les nanards.

Articles de Maxence Glineur

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (2)

twist_oliver

Il était temps

Laurent_Marandet

Ayant besoin de faire des économies de chauffage électrique tout en gardant quand même une température acceptable aux heures de présence, j’ai acheté des modules Nodon Zigbee (vendus aussi sous les marques Equation et Lexman) de commande de fil pilote. Contrairement au commandes volets roulants qui existent dans de nombreuses marques sur le marché mondial, le chauffage électrique est tellement une spécificité française que l’on ne trouve que difficilement ces modules.

J’ai donc dû acheter le bundle de 2 modules + 1 box Enki connect chez Leroy Merlin car ils ne vendent plus les modules séparés en ce moment, ni en magasin, ni sur internet.

J’ai voulu essayer cette box, il faut créer un compte dans un cloud ENKI de Leroy Merlin. Le jour de l’achat, le serveur était en panne jusqu’à tard dans la soirée. Ensuite, cela a fonctionné, mais du coup je n’ai aucune confiance dans des modules gérés par un serveur tiers, qui peut être en panne ou être piraté ou bien fermé car le fabricant le décide (exemple Google pour certains appareils et services).

Du coup, j’ai installé le logiciel OpenSource Home Assistant en machine virtuelle sur un Synology (j’ai importé dans Virtual Machine Manager la version prévue normalement pour VMWare car je n’aime pas les containers Docker) et j’ai acheté un dongle USB Zigbee.
Tous les modules sont reconnus parfaitement et je ne suis pas du tout limité en nombre de modules.
L’application sur smartphone Home Assistant fonctionne à la perfection, j’ai une ip fixe et n’ai eu qu’à forwarder le port tcp 8123 vers la machine virtuelle. Les commandes sont instantanées, contrairement aux applications DeltaDore ou à celle de Mercedes.me pour programmer le chauffage d’un véhicule électrique. Le fait que cela ne passe pas par des proxies mystérieux ou des serveurs localisés à Petaouchnok doit grandement aider.

Il ne me reste qu’à mettre le certificat https qui va bien et j’ai enfin une solution libre bien plus maîtrisée que les offres propriétaires. C’est plus cher que les accessoires Tuya en wifi en vente sur AliExpress mais Nodon et Sonoff ca inspire nettement plus confiance.