Les entreprises qui ignorent la loi s'exposent à une amende de 12,5 millions de dollars
Pourquoi est-ce important: Quel que soit le nombre de piratages perpétrés via des mots de passe par défaut faibles et inchangés sur les appareils, les fabricants continuent d'utiliser des noms tels que « mot de passe » et « admin » pour les informations de connexion. Ce ne sera plus le cas au Royaume-Uni, qui est devenu le premier pays au monde à interdire aux fabricants d'utiliser des informations d'identification par défaut facilement devinables sur les appareils connectés.
Une mise à jour de la loi britannique PSTI (Product Security and Telecommunications Infrastructure Act) stipule que chaque appareil doté d'une connectivité en ligne doit soit être livré avec un mot de passe aléatoire, soit générer un mot de passe lors de l'initialisation.
Selon les exigences, les mots de passe préinstallés ne peuvent pas être incrémentiels (mot de passe1, mot de passe2) et ne peuvent pas être liés de manière évidente à des informations publiques telles que les adresses MAC ou les SSID Wi-Fi.
Il existe également des règles pour garantir que les appareils sont protégés contre les attaques par force brute, notamment une limitation du nombre de tentatives d'authentification dans un certain délai. La modification des mots de passe, quant à elle, doit être effectuée à l'aide d'un « mécanisme simple ».
Les logiciels qui n'ont pas été mis à jour constituent un autre moyen courant pour les pirates de compromettre les systèmes et les appareils. Le PSTI stipule que les composants logiciels doivent pouvoir être mis à jour en toute sécurité, vérifier les mises à jour et les mettre à jour automatiquement ou d'une manière simple à appliquer pour les utilisateurs. Il existe également une section sur la mise en œuvre de moyens de gestion des rapports de vulnérabilités, qui demande aux fabricants de surveiller, d'identifier et de rectifier en permanence les vulnérabilités de sécurité dans les produits et services qu'ils vendent.
Il ne s’agit pas seulement de recommandations que les fabricants peuvent ignorer s’ils le souhaitent. La violation de la loi peut entraîner une amende pouvant aller jusqu'à 10 millions de livres sterling (environ 12,5 millions de dollars) ou 4 % du « chiffre d'affaires mondial admissible » d'une entreprise, selon le montant le plus élevé.
Les règles mises à jour sont conçues pour atténuer les incidents tels que le botnet Mirai en 2016, qui a provoqué d'énormes pannes sur Internet, notamment sur Twitter, Netflix et Reddit. Le botnet était constitué de centaines de milliers d’appareils infectés conçus pour inonder les sites Web de trafic indésirable. Cela a donné lieu à l’une des plus grandes attaques par déni de service distribué (DDoS) jamais enregistrées.
En juillet de l’année dernière, l’administration Biden a annoncé le programme Cyber Trust Mark, conçu pour aider les Américains à identifier les appareils connectés qui répondent aux exigences du gouvernement en matière de cybersécurité, notamment en ayant des mots de passe par défaut forts. Cependant, contrairement au Royaume-Uni, la participation des entreprises est volontaire et les moindres détails du projet de loi sont encore débattus avant sa mise en œuvre.
Jeu de briques
Snake
Pacman
Bubble