Face au danger des mots de passe livrés par défaut aux utilisateurs sur le marché des objets connectés, facilement piratables, le gouvernement britannique veut leur interdiction, et ce, dès leur sortie d'usine.
Le Royaume-Uni a-t-il trouvé la solution contre la passoire de sécurité qu'est le mot de passe par défaut ? Le gouvernement de Sa Majesté a en effet dévoilé, il y a quelques jours, un projet de loi d'une certaine originalité qui viserait, s'il aboutit, à bannir les mots de passe par défaut. Autrement dit, chaque objet connecté qui serait vendu sur le territoire britannique embarquerait un mot de passe unique qui ne puisse pas être réinitialisé aux paramètres d'usine par défaut.
Le gouvernement britannique veut résoudre les problèmes de sécurité physique et informatique des objets et appareils connectés
Le gouvernement britannique a présenté, à la fin du mois de novembre, un projet de loi sur la sécurité, visant plus particulièrement l'univers IoT (Internet des objets). Une grande partie de la loi est consacrée à la sécurité disons physique de nombreux appareils, comme les téléviseurs intelligents, les smartphones ou les enceintes connectées. Les dirigeants du Royaume-Uni ne veulent plus de problèmes de surchauffe, d'interférences électriques ou de dommages causés à l'environnement, et exigeront des fabricants de véritables garanties.
Le pan qui retient notre attention dans cette loi, c'est celui de la sécurité informatique des appareils connectés. Le gouvernement local déplore qu'aujourd'hui on puisse constater une vraie carence outre-Manche s'agissant de la protection des consommateurs contre les cyberattaques, avec les conséquences qui s'en suivent (atteinte à la vie privée, perte, diffusion et revente de données personnelles).
Et cette carence juridique coïncide avec les menaces et les attaques subies par les objets connectés, pouvant être compromis par des attaques par déni de service (DDoS) ou des attaques par force brute, pour faire tomber les mots de passe attribués par défaut par les fabricants, et souvent hélas insuffisamment protecteurs.
Les mots de passe par défaut, comme des portes grandes ouvertes
La loi vise plus particulièrement les mots de passe par défaut, cette protection directement mise en place par le fabricant que, trop souvent, l'utilisateur ne prend pas la peine de modifier, pensant qu'il est assez robuste. Sauf que les dirigeants britanniques ont gardé en tête le traumatisme symbolique de 2018, lorsque des hackers, aux États-Unis, avaient réussi à compromettre le thermostat connecté d'un aquarium qui avait, vous l'avez deviné, un mot de passe par défaut. Sur cette cyberattaque, les pirates en avaient profité pour voler des coordonnées bancaires, puisque l'aquarium, étant situé dans le hall d'un casino américain, avait servi de porte dérobée.
Alors pour instaurer des garanties de sécurité efficaces, la loi permettra de mettre fin aux mots de passe par défaut, qui sont une cible de choix pour les pirates informatiques. Elle exige que chaque produit embarque un mot de passe qui ne puisse plus être le même en cas de réinitialisation d'usine de l'appareil, de façon à protéger ce dernier des intrusions extérieures. Et cela concerne aussi bien les jouets connectés que les consoles de jeux, les smartphones, les tablettes, les routeurs, les appareils électroménagers, les caméras et autres.
Pour aller plus loin et renforcer cette garantie, la loi prévoit d'exiger des fabricants et des vendeurs qu'ils informent les consommateurs sur la durée minimale pendant laquelle le produit bénéficiera de mises à jour de sécurité. Cet acte de transparence devra être bien visible. Et enfin, un organisme ou un site accessible au public sera mis en place, dont la mission sera de traiter toutes les remontées de failles, bugs ou piratages.
Le gouvernement britannique promet de laisser, une fois que la loi sera adoptée, un délai de 12 mois aux constructeurs et distributeurs pour se conformer aux nouvelles dispositions et garanties. Ceux qui passent outre ces dernières seront exposés à une amende pouvant atteindre jusqu'à 4 % du chiffre d'affaires mondial, ou à défaut 10 millions de livres sterling.
Source : Gov.uk
