Pourquoi devriez-vous vous soucier de la loi sur la maison intelligente que la Californie vient d’adopter
La toute première loi américaine sur la sécurité des maisons intelligentes vient d'être promulguée en Californie – mais quel que soit l'endroit où vous vivez, c'est quelque chose que vous devriez probablement approfondir.
Le projet de loi (SB-327) stipule qu'à partir du 1er janvier 2020, tous les fabricants d'appareils IoT – haut- parleurs intelligents, thermostats intelligents, etc. – doivent inclure des fonctionnalités de sécurité "raisonnables". des esprits qui pourraient autrement les trafiquer depuis l'extérieur de votre maison.
Lisez ceci : La bataille de la sécurité pour votre technologie domestique a commencé
Le projet de loi a suscité de nombreuses discussions, certains faisant l'éloge des législations et soulignant l'importance de jeter ces bases tôt – mais d'autres l'ont critiqué pour son inefficacité, voire sa nocivité. Décomposons-le.
Ok, que fait réellement le projet de loi ?
L'édit central du projet de loi stipule que les fabricants d'appareils IoT doivent équiper leur technologie de fonctionnalités de sécurité "raisonnables" qui empêcheront "l'accès, la destruction, l'utilisation, la modification ou la divulgation non autorisés" des informations des utilisateurs.
Une exigence spécifique énoncée dans le projet de loi est que toute technologie de maison intelligente avec des moyens d'accès en dehors d'un réseau local doit avoir un mot de passe unique pour cet appareil ou permettre aux utilisateurs de définir un mot de passe unique lorsqu'ils configurent l'appareil.
Certains appareils domestiques intelligents sont livrés avec des mots de passe codés en dur auxquels des étrangers ayant des intentions malveillantes pourraient accéder (ces mots de passe sont souvent facilement disponibles sur le Web) pour s'introduire à distance.
Oui, c'est vrai, les mots de passe codés en dur sont toujours un problème dans la maison intelligente. L'année dernière, une enquête menée par la société finlandaise de sécurité de l'information F-Secure a révélé que les caméras de sécurité à domicile construites par la société Foscam utilisaient ces mots de passe codés en dur. Il semble risible qu'un tel défaut puisse exister, mais c'est malheureusement vrai.
Je ne suis pas en Californie. Pourquoi devrais-je m'en soucier?
Doucement, mon pote. Bien que le projet de loi n'ait été adopté qu'en Californie (jusqu'à présent), les effets seront ressentis par les clients partout aux États-Unis, car les mêmes dispositions de sécurité seront vraisemblablement incluses dans tous les appareils. C'est-à-dire que nous ne pouvons pas prévoir une situation où des entreprises comme Samsung et Amazon modifient leurs produits uniquement pour le marché californien.
Même si un appareil est fabriqué en dehors de la Californie ou des États-Unis, il devra toujours se conformer à la loi s'il vend son ou ses appareils dans l'État – au cas où vous pensiez qu'il pourrait y avoir une échappatoire là-bas.
Ça a l'air bien. Pourquoi tout le monde n'est-il pas d'accord ?
Car si l'esprit du projet de loi est bon, les experts en cybersécurité ne pensent pas qu'il aura les effets escomptés.
L'expert en IoT Robert Graham affirme que le projet de loi est basé sur une "compréhension superficielle" de la cybersécurité, affirmant qu'il n'améliorera pas la sécurité. Graham compare le problème à un régime: dans la mesure où manger moins est la clé d'un régime, la cybersécurité ne devrait pas consister à ajouter plus de fonctionnalités de sécurité, mais à supprimer des fonctionnalités moins sécurisées. "L'ajout de fonctionnalités est une "pilule magique" ou une "solution miracle" typique contre laquelle nous passons une grande partie de notre temps à lutter contre la sécurité informatique", a-t-il déclaré.
Graham a également critiqué le langage "vague" du projet de loi qui exige que les appareils aient des fonctions de sécurité "raisonnables" et "appropriées". "Il est impossible pour une entreprise de savoir ce que signifient ces mots, impossible de savoir s'ils sont conformes à la loi".
Graham pense également que l'accent mis sur les mots de passe codés en dur est erroné. Il convient que ceux-ci devraient être supprimés, mais dit qu ‘«ils se trompent de langage». Il dit que le problème est plus complexe: un appareil typique «n'a pas un seul mot de passe, mais beaucoup de choses qui peuvent ou non être appelées des mots de passe ».
D'autres experts conviennent que le langage est trop vague par endroits, estimant que les règles ne sont généralement pas définies. En effet, le projet de loi indique à plusieurs reprises que les dispositions doivent être "appropriées" à l'appareil sans fixer de détails. Mais certains ont suggéré que cette formulation est intentionnelle, car elle permet aux fabricants d'appareils de s'adapter et d'évoluer avec la technologie.
Un autre point soulevé par la California Manufacturers and Technology Association est que le projet de loi pourrait faire fuir la concurrence dans l'État, mais comme nous l'avons dit plus haut, il semble peu probable que les entreprises envisagent de créer des appareils plus sûrs en Californie que dans d'autres États. De plus, il est probable que d'autres États suivront les traces de la Californie.
En somme, cela va être le début d'une conversation plus longue. Le cœur du projet de loi est au bon endroit; tout cela est important pour assurer la sécurité de la maison intelligente. Mais ce sera une discussion continue avant et après janvier 2020.