Sécurité des objets connectés : un « trou béant » dans la loi

L’Union européenne a fait un pas de plus vers l’adoption de nouvelles règles sur la certification et la coopération entre les pays en matière de cybersécurité. Le comité de l’industrie du Parlement européen a ratifié le Cybersecurity Act.

Le comité, connu sous le nom d’ITRE, a massivement voté en faveur au travers d’un rapport qui exposera la position de négociation du Parlement sur la loi – s’il est approuvé par le vote en plénière après les vacances d’été.

La sécurité n’est pas un impératif, donc négligée

Cela ouvrirait alors la voie aux négociations avec les États membres et, in fine, l’introduction de la nouvelle réglementation à l’échelon européen.

Cependant, les groupes de consommateurs ne cachent pas leur insatisfaction à l’égard du projet actuel. Ils estiment en effet que la loi ignore un vecteur d’attaque majeur en n’introduisant pas de certifications de sécurité obligatoires pour les produits de consommation connectés, comme les montres et les appareils domestiques intelligents.

Les certifications en question indiqueraient que le produit ou le service ne contient pas de vulnérabilités connues, est conforme aux normes et spécifications internationales et ne peut être utilisé que par des personnes autorisées.

Le Parlement ne souhaite rendre les certifications obligatoires que pour les produits et services technologiques présentant les risques de sécurité les plus élevés. Ces certifications sont susceptibles de concerner des domaines comme l’infrastructure énergétique. Les détails doivent encore être débattus lors des négociations.

La mesure ne fait cependant pas consensus. Le Parlement appelle à l’adoption des règles les plus strictes. La Commission européenne et le Conseil de l’UE, qui représente les États membres de l’Union, sont favorables à un système reposant sur le volontariat.

Selon l’organisation européenne des consommateurs, le BEUC, les autorités passent totalement à côté de la menace que représentent les terminaux connectés non sécurisés, très divers et utilisés au quotidien.

« Des produits connectés sans sécurité adéquate apparaissent sur notre continent, ouvrant la voie à la prochaine grande crise de cybersécurité » juge la directrice générale du BEUC, Monique Goyens.

Les botnets d’objets connectés, une menace réelle

C’est pourquoi les associations de protection demandent depuis longtemps aux institutions européennes d’imposer des exigences en matière de cybersécurité, comme des mises à jour de sécurité, des mots de passe forts ou du chiffrement pour les montres, les voitures connectées et autres réfrigérateurs intelligents.

« Il y a des règles pour assurer la sécurité de nos voitures. Il y a des règles pour assurer la sécurité de nos aliments, mais il n’y a pas de règles pour sécuriser les produits connectés » souligne Goyens.

« Il est très décevant que les institutions de l’UE semblent encore sous-estimer la dimension du problème et ne sont pas disposées à y remédier en imposant la sécurité par défaut dès la conception (security by design). »

Au contraire, la Computer & Communications Industry Association, un groupe de lobbying de l’industrie technologique, accueille favorablement l’approbation du rapport au Parlement.

« Nous exhortons les Etats membres à soutenir la position du Parlement sur cette question dans les négociations finales » commente Alexandre Roure, directeur de la CCIA.

Plusieurs associations ont pourtant ces deux dernières années publié des rapports qui démontrent les risques associés à l’absence de sécurité des produits connectés.

Le Conseil des consommateurs norvégien a mis en évidence de graves vulnérabilités dans les montres connectées pour enfants qui menacent la vie privée des utilisateurs.

Mais l’émergence de botnets comme Mirai a également démontré le danger présenté par la multitude de ces terminaux non sécurisés, utilisés pour fournir une puissance de feu lors d’attaques par déni de service distribué (DDoS).

Un « trou béant dans la législation européenne »

Cependant, l’échec de la loi sur la cybersécurité à résoudre ces problèmes ne signifie pas nécessairement que le sujet est enterré.

Le directeur des communications du BEUC, Johannes Kleis, juge encore possible d’introduire de nouvelles exigences en matière de cybersécurité pour les produits connectés dans la prochaine révision des règles relatives aux équipements radio.

Et puis, il y a la directive sur les contrats de contenu numérique, une législation actuellement en cours de négociation avec le Conseil de l’UE.

Si cette directive vise essentiellement à offrir aux consommateurs de meilleures protections lorsqu’ils achètent du contenu numérique et des services en ligne, le Parlement européen est parvenu à faire adopter des amendements permettant à la loi de couvrir les logiciels embarqués.

Si ces dispositions de la directive survivent aux négociations finales, elles forceraient les distributeurs, a minima, à informer les clients des mises à jour de sécurité requises lors de la découverte de failles de sécurité dans les terminaux connectés.

Pour l’instant, cependant, la sécurité de ces appareils électronique s’inscrit toujours dans ce que le BEUC qualifie de « trou béant dans la législation européenne »

Source: ZDnet – https://www.zdnet.fr/actualites/securite-des-objets-connectes-un-trou-beant-dans-la-loi-39871033.htm#xtor=123456

Laisser un commentaire

Votre adresse de courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

*

*

Publicité
:: Fringales ::