Passer au contenu

Le danger des objets connectés : les États-Unis dévoilent leur plan contre les pirates

Les États-Unis craignent que les objets connectés facilitent la tâche des pirates. Pour empêcher les hackers de prendre le contrôle d’un appareil intelligent pour mener des cyberattaques, Washington a annoncé la création d’un label.

Les objets connectés, comme les ampoules, les prises, les réfrigérateurs, les climatiseurs intelligents, les robots aspirateurs, les montres, les bracelets ou les téléviseurs, représentent un risque pour la sécurité informatique. De plus en plus répandus, les équipements IoT (Internet of Things) sont une porte d’entrée de choix pour les hackers.

On se souviendra qu’en 2021, des centaines de milliers d’objets connectés sont tombés sous la coupe d’un redoutable botnet à cause d’une faille de sécurité. D’ailleurs, plus de 112 millions de cyberattaques visant des appareils intelligents ont été enregistrées l’an dernier, en hausse de 87 % en un an, indique un rapport de SonicWall. La société de cybersécurité précise que l’explosion des attaques est encore plus flagrante aux États-Unis, avec un bond annuel de 169 %. D’après les chiffres d’IDC, 49 milliards d’appareils connectés seront en circulation dans le monde d’ici à 2026.

Conscients des enjeux posés par les objets connectés, les États-Unis ont pris une mesure forte pour améliorer la sécurité des dispositifs intelligents. Le gouvernement de Joe Biden vient d’inaugurer un programme intitulé « U.S. Cyber Trust Mark ». Celui-ci vise à pousser les constructeurs à améliorer la résilience de leurs appareils en cas d’attaque informatique.

À lire aussi : Des centaines de millions d’objets connectés sont menacés par une série de failles réseau critiques

Un label pour identifier les produits sécurisés

Concrètement, le gouvernement va proposer aux marques d’apposer un label de certification sur l’emballage de leurs produits. Ce label garantira aux consommateurs que les appareils intelligents répondent à certains critères en matière de cybersécurité. Parmi les critères à remplir, on trouve des « mots de passe par défaut uniques et forts », des mises à jour régulières, des mesures pour protéger des données personnelles et des systèmes de détection en cas d’intrusion. Ces critères s’appuient sur les recommandations de la National Institute of Standards and Technology (NIST), une agence du département du Commerce chargée de promouvoir l’économie américaine en développant des technologies.

« Les produits mal sécurisés peuvent permettre à des hackers d’accéder à des ménages et à des bureaux américains pour provoquer des problèmes ou voler des données. Des failles dans ce type d’appareils ont récemment montré comment des acteurs malveillants peuvent aisément les exploiter pour déployer des réseaux de bots informatiques et faire de l’espionnage », a déclaré Anne Neuberger, conseillère de la Maison-Blanche en charge de la sécurité informatique.

Grâce à ce label « Cyber Trust Mark », les acheteurs pourront prendre des « décisions éclairées » lors de l’achat d’une prise connectée, d’un bracelet fitness ou d’une caméra intelligente par exemple. En un coup d’œil, le consommateur lambda pourra séparer les produits sécurisés des appareils négligents. Sur la boîte, on trouvera par ailleurs un QR code. Celui-ci relayera l’acheteur vers « un registre national d’appareils certifiés », qui offrira une foule d’informations fiables sur son potentiel futur achat. La plate-forme permettra aussi de comparer aisément les différentes propositions du marché.

Amazon, Samsung, Google et LG rejoignent le programme

Plusieurs marques et enseignes se sont déjà engagées à participer à l’initiative. C’est le cas d’Amazon avec Alexa, Best Buy, Google, LG, Logitech, Samsung et Google. On remarquera l’absence d’Apple, qui commercialise de nombreux objets connectés sur son Apple Store. Plusieurs associations de défense des consommateurs, comme Consumer Reports, se sont jointes au projet. Notez que l’accès au programme est entièrement libre. Les marques qui refusent de jouer le jeu seront simplement privées du macaron « Cyber Trust Mark ». Les autorités espèrent que les consommateurs privilégieront les produits certifiés, obligeant les fabricants à demander le label.

Le programme ne sera mis en place qu’en 2024. Dans un premier temps, la Commission fédérale des communications ou FCC ( Federal Communications Commission) va d’abord solliciter l’avis du public. En fonction des retours, la FCC travaillera au déploiement de l’initiative sur le marché américain.

Marqués par une série de cyberattaques, dont une offensive d’ampleur contre l’opérateur d’oléoducs Colonial Pipeline en 2021, et le piratage de SolarWinds fin 2020, les États-Unis multiplient les mesures en matière de sécurité informatique. Après avoir promis 10 millions de dollars à toute personne détenant des informations sur une éventuelle cyberattaque, le gouvernement dirigé par Joe Biden s’est engagé à adopter une approche globale pour « verrouiller nos portes numériques » et veiller à la sécurité nationale. L’administration a notamment revu à la hausse les « exigences du gouvernement fédéral en matière de cybersécurité » et responsabilisé les entreprises, surtout celles en charge d’infrastructures critiques.

Et en Europe ?

En miroir des États-Unis, l’Europe est bien consciente des dangers que représentent les objets connectés. L’an dernier, l’Union européenne a d’ailleurs annoncé la création d’une norme stricte pour tous les produits IoT. Pour commercialiser des objets connectés sur le marché européen, les fabricants devront obtenir un nouveau marquage CE et se plier à une série de règles. « Tous les produits qui comportent des microprocesseurs » sont concernés, précisait le Commissaire Thierry Breton lors de l’annonce. En cas de manquements, les entreprises écoperont de sévères amendes, allant jusqu’à 15 milliards d’euros.

Pour mémoire, un premier label pour objets connectés a déjà vu le jour quelques années plus tôt en Europe. Lancé par la société française Digital Security, le programme proposait aux industriels de vérifier la sécurité de leur solution sur la base d’un référentiel, largement basé sur des standards nationaux et internationaux. Si l’appareil répond aux exigences des législateurs, les marques sont libres d’apposer un macaron IQS (IoT Qualified as Secured) sur leurs produits. Plusieurs fabricants ont adopté le label, mais celui-ci ne s’est pas massivement répandu dans l’industrie.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Maison-Blanche


Florian Bayard