La loi PSTI (Product Security and Telecommunications Infrastructure Act) est entrée en vigueur aujourd’hui, obligeant les fabricants de produits IoT grand public vendus au Royaume-Uni à cesser d’utiliser des mots de passe par défaut devinables et à mettre en place une politique de divulgation des vulnérabilités.
« La plupart des appareils intelligents sont fabriqués en dehors du Royaume-Uni, mais la loi PSTI s’applique également à toutes les organisations important ou vendant des produits pour le marché britannique. Le non-respect de la loi constitue une infraction pénale passible d’amendes allant jusqu’à 10 millions de livres sterling ou 4 % du chiffre d’affaires mondial admissible (le montant le plus élevé étant retenu) », a souligné Carla V, responsable de la résilience des citoyens au Centre national de cybersécurité.
À propos de la législation
La loi PSTI couvre les produits connectables à Internet et au réseau, y compris les « intelligents » :
- Téléviseurs, appareils de streaming, haut-parleurs
- Consoles de jeux, smartphones, tablettes
- Stations de base et hubs
- Domotique et systèmes d’alarme
- « Wearables » : montres intelligentes, trackers de fitness, etc.
- Appareils électroménagers (thermostats, machines à laver, ampoules, réfrigérateurs, assistants à domicile, etc.)
- Dispositifs de sécurité (sonnettes, caméras de sécurité, babyphones, etc.)
- Les jouets d’enfants
Selon la loi, chaque produit doit être sécurisé « prêt à l’emploi » avec un mot de passe unique qui n’est pas basé sur des compteurs incrémentiels ou dérivés d’informations accessibles au public ou d’identifiants de produit uniques, et qui n’est pas facilement devinable. Les utilisateurs doivent également pouvoir le modifier.
« Le fabricant doit fournir des informations sur la manière de lui signaler les problèmes de sécurité concernant son produit. Le fabricant doit également fournir des informations sur les délais dans lesquels un accusé de réception du rapport et des mises à jour de l’état jusqu’à la résolution des problèmes de sécurité signalés peuvent être attendus par la personne effectuant le rapport. Ces informations doivent être mises gratuitement à disposition sans demande préalable en anglais. Il doit également être accessible, clair et transparent », explique le ministère britannique de la Science, de l’Innovation et de la Technologie.
Enfin, les fabricants doivent mettre à disposition – « en anglais, gratuitement et d’une manière compréhensible pour un lecteur sans connaissances techniques préalables » – des informations sur la durée pendant laquelle le produit recevra des mises à jour de sécurité.
“Cette législation doit désormais être renforcée par une application stricte, notamment contre les marchés en ligne qui sont inondés de produits non sécurisés, afin d’empêcher les consommateurs d’acheter des appareils connectés à Internet qui menacent leur sécurité et pourraient les obliger à remplacer des produits autrement utilisables”, a déclaré Rocio Concha, Directeur des politiques et du plaidoyer chez le champion des consommateurs du Royaume-Uni Which ?
L’Office pour la sécurité et les normes des produits (OPSS) – qui fait partie du ministère des Affaires et du Commerce – sera chargé de faire appliquer la loi.
Lois sur la cybersécurité de l’IoT dans l’UE et aux États-Unis
On pourrait faire valoir que l’attaque DDoS perturbatrice de 2016 contre Dyn par des mécréants qui ont rassemblé des appareils IoT « non actualisables » avec des mots de passe codés en dur dans un botnet a été le moment où la nécessité d’une législation telle que la loi PSTI est devenue évidente.
Divers organismes gouvernementaux et de normalisation ont depuis publié des lignes directrices et des recommandations destinées aux fabricants d’IoT afin d’améliorer la cybersécurité de leurs produits, mais il s’agit de la première loi nationale qui impose des améliorations spécifiques liées à la sécurité.
En Europe, la loi sur la cybersécurité (2019) a introduit des systèmes volontaires de certification de cybersécurité pour les produits, services et processus TIC, mais la prochaine loi sur la cyber-résilience (CRA) devrait introduire des exigences obligatoires en matière de cybersécurité.
Aux États-Unis, l’IoT Cybersecurity Improvement Act de 2019 a défini des normes de sécurité minimales pour les appareils IoT utilisés par le gouvernement fédéral, et la Californie et l’Oregon ont adopté une loi d’État qui oblige les fabricants d’appareils connectés à Internet vendus dans ces États à les équiper d’une « sécurité raisonnable ». fonctionnalités de sécurité » telles qu’un mot de passe par défaut unique.
Nous espérons que ces lois ne sont que les premières d’une longue série et seront renforcées au fil des années. La responsabilité de garantir la sécurité des appareils IoT est enfin en partie transférée aux fabricants.