Blog

Nouvelles lois IoT de la Californie et de l’Oregon : quel impact auront-elles sur vous ?

Depuis janvier 2020, une nouvelle législation exige que les appareils utilisent des garanties plus strictes. Premiers du genre, les projets de loi de la Californie et de l’Oregon marquent une nouvelle vague de lois sur les technologies de consommation. Ils nécessitent que les appareils connectés à l’Internet des objets soient dotés de protections de sécurité intégrées.

Il existe pourtant une controverse. Premièrement, les fabricants d’appareils n’ont jamais été sensibles aux exigences législatives et les contrôles de sécurité obligatoires ne font pas exception. D’un autre côté, les experts en sécurité craignent que les nouvelles lois ne aillent pas assez loin. Les projets de loi 327 et 2395 semblent être un pansement sur un problème de plus en plus complexe.

Si votre entreprise est prête à révolutionner le monde avec sa nouvelle solution intelligente, écoutez-le. Pour se conformer à la nouvelle vague, il faudra plus qu’une solution miracle. Faites appel à vos équipes d’ingénierie et de conception pour découvrir comment les nouvelles réglementations vont changer le secteur.

Quelles sont les nouvelles lois de sécurité de la Californie et de l’Oregon pour les appareils connectés ?

Signé par le gouverneur de Californie Jerry Brown en septembre 2019, Projet de loi 327 vise à améliorer la sécurité de l’IoT. Une fois en vigueur, les fabricants devront inclure la sécurité dans leurs produits. Le projet de loi leur impose d’équiper « un ou plusieurs éléments de sécurité raisonnables ». Les appareils doivent protéger contre « l’accès, la destruction, l’utilisation, la modification ou la divulgation non autorisés ». En d’autres termes, les appareils IoT doivent protéger la confidentialité et l’intégrité des données. Bien qu'il s'agisse d'une définition large de la sécurité, les fabricants ont intérêt à commencer à se mettre en conformité le plus tôt possible. Après tout, des garanties telles que le cryptage peuvent être difficiles à ajouter à un produit fini.

Projet de loi 2395 , signé par Kate Brown de l’Oregon en mai 2019, entrera également en vigueur en janvier 2020, avec un principe similaire. Les garanties doivent protéger contre « l’accès, la destruction, l’utilisation, la modification ou la divulgation non autorisés » des informations.

Quelles sont les exigences de conformité ?

Les deux projets de loi entreront en vigueur le 1er janvier 2020, mais ceux qui recherchent un plan précis sur la manière de s'y conformer trouveront les deux projets de loi manquants. Ni le projet de loi 327 ni le projet de loi 2395 n'offrent beaucoup de détails sur les exigences en matière de sauvegarde. Les normes de sécurité communes, notamment le cryptage, la surveillance de l'accès aux informations et la possibilité d'accepter les mises à jour logicielles, restent ignorées. Au lieu de cela, les deux projets de loi mettent l’accent sur des mesures de sécurité « appropriées » compte tenu de la nature de l’appareil. Les fabricants doivent appliquer des mesures de protection adaptées « aux informations qu’ils peuvent collecter, contenir ou transmettre ».

Le flou de ces exigences permet aux lois de vieillir sans devenir obsolètes à mesure que la technologie continue de progresser. Cependant, ils laissent également beaucoup de place à l’interprétation, ce qui pourrait permettre aux fabricants de trouver des failles et de rogner sur les raccourcis.

Il existe cependant une exception notable.Tous les appareils connectés, selon les deux projets de loi, doivent être accompagnés de mots de passe « uniques à chaque appareil fabriqué ».Alternativement, ils doivent exiger que les utilisateurs définissent leurs propres mots de passe lors de la première configuration. C’est logique : les mots de passe par défaut des appareils sont un fléau connu des experts en cybersécurité qui peuvent causer d’énormes problèmes. Un exemple notable est la violation de données d’Equifax en 2017. Comme Paul Lilly avec Joueur sur PC rapports, le mot de passe par défaut « admin » a été utilisé pour protéger de vastes quantités d’informations personnelles sensibles.

Combien de produits IoT les lois affecteront-elles ?

Il s’avère que c’est beaucoup. Le projet de loi 327 définit « appareil connecté » comme « tout appareil ou autre objet physique capable de se connecter à Internet, directement ou indirectement, et auquel est attribuée une adresse de protocole Internet ou une adresse Bluetooth ». Cela peut signifier n’importe quoi, des radiateurs intelligents aux aspirateurs, en passant par les sonnettes et même les cordons d’alimentation. Si un produit peut se connecter à Internet ou au Bluetooth, le projet de loi 327 s'appliquera.

Comme son prédécesseur californien, le projet de loi 2395 s’applique aux appareils pouvant se connecter via Internet ou Bluetooth. Cependant, cela ajoute une touche unique avec des appareils qui sont « utilisés principalement à des fins personnelles, familiales ou domestiques ». Sheryl Falk de Winston et étang commentaires que les fabricants doivent savoir : « personnel » peut être défini au sens large. Au cours des dernières années, de nombreuses entreprises ont fortement encouragé leur personnel à utiliser des appareils portables et des applications de suivi pour le fitness. En 2016, Lisa Schencker J'ai consulté les lecteurs du Chicago Tribune sur la tendance des employeurs à encourager les Fitbits au travail. Si l’employé utilise un objet permettant de suivre son état de santé à la demande d’un employeur, sera-t-il considéré par la loi comme étant à des fins personnelles ou professionnelles ?

Des exceptions ?

Des exemptions légales aux lois existent. Il est important de noter que les appareils sont déjà soumis à des exigences plus strictes en matière de protection des données. Les projets de loi 327 et 2395 indiquent clairement qu'ils ne remplacent pas la loi HIPAA, qui offre davantage de garanties pour les données médicales. La législation ne s’appliquera pas non plus aux appareils soumis à la loi fédérale. Si le gouvernement fédéral adopte une loi sur la sécurité de l’Internet des objets, celle-ci aura préséance.

Il est intéressant de noter que le projet de loi 327 exempte également les appareils dotés de « logiciels tiers non affiliés ». Cela est logique, car il serait difficile, voire presque impossible, de protéger les appareils une fois que les utilisateurs ajoutent leurs propres modifications. Il est impossible pour un fabricant de vérifier la sécurité de toutes les applications tierces potentielles qu’un utilisateur pourrait essayer.

Ce qui est intéressant, cependant, c’est que la loi n’interdit pas aux utilisateurs d’exercer un contrôle total sur leur appareil. Plus précisément, les fabricants ne peuvent pas utiliser la loi comme justification pour empêcher les modifications par les utilisateurs. Cela signifie-t-il que le projet de loi 327 accorde également une autorisation subtile au jailbreaking légal des appareils ?

Qu’en est-il des détaillants d’appareils ? Comment traitent-ils les appareils fabriqués avant les lois, mais vendus après ?

Si vous vendez des produits électroniques en Californie ou dans l’Oregon et que vous vous inquiétez de l’impact de la loi sur votre entreprise, détendez-vous. Les projets de loi 327 et 2395 s’appliquent tous deux aux fabricants et non aux détaillants. La loi est claire : elle ne peut « être interprétée comme imposant une quelconque obligation » aux magasins ou aux marchés de vérifier ou de faire respecter la conformité. En d’autres termes, s’il vous reste des produits de décembre 2019, à moins que le fabricant ne procède à un rappel, ils peuvent rester dans les rayons.

Problèmes de conformité

Jusqu’à présent, les discussions et l’enthousiasme pour ces lois IoT sont pour le moins tièdes parmi les spécialistes de la sécurité. C’est un bon début, mais nombreux sont ceux qui s’accordent à dire qu’il existe beaucoup trop de lacunes. Pour commencer, les organisations suivront-elles la législation pour inclure une meilleure sécurité dans la conception globale des appareils, ou se concentreront-elles uniquement sur l’authentification ? Écrire pour Web sombre , Robert Lemos illustre une partie de la confusion et des différentes interprétations des avocats, notant que certaines entreprises peuvent choisir d'attendre, mesurant « s'il existe un risque pour elles en vertu de la loi ».

Pour entrer plus en détail, expert en cybersécurité Robert Graham soutient que les projets de loi sont mal rédigés. Lorsqu'elles exigent que les appareils aient des mots de passe uniques, comme l'explique Robert Graham, les lois se trompent de langage. De nombreux systèmes n'ont pas de mots de passe uniques, mais plutôt plusieurs systèmes d'authentification pour lesquels des mots de passe sont inclus. Un appareil peut authentifier le compte utilisateur pour les applications Web ou l'accès en ligne, et disposer d'autres protocoles d'application actifs non sécurisés, tels que Telnet, qui peuvent toujours être des cibles de pirates.

« C’est comme suivre un régime, où les gens insistent pour que vous mangiez plus de chou frisé, ce qui ne résout pas le problème que vous posez sur les chips. La clé d’un régime n’est pas de manger plus mais de manger moins. Il en va de même en matière de cybersécurité, où il ne s’agit pas d’ajouter des « fonctionnalités de sécurité » mais de supprimer des « fonctionnalités non sécurisées ».

Montant lentement la colline

Même si les règles n’offrent pas de protections de sécurité complètes, pour les consommateurs, elles constituent un début. Comme Adi Robertson avec le Bord Selon des rapports, les fabricants d’appareils qui vendent des produits en Californie ou en Oregon « transmettraient les avantages aux clients d’ailleurs ». Au minimum, ces projets de loi pourraient inciter les fabricants à prendre un peu plus au sérieux la sécurité des appareils. Les lois donnent aux équipes de sécurité et aux concepteurs une autre analyse de rentabilisation pour ajouter de meilleures protections aux produits. Pour les consommateurs, cela ne garantira pas la sécurité à 100 % de tous les appareils vendus en Californie ou en Oregon, mais un peu de protection vaut bien mieux que rien du tout.

Voir également:

Plus de 60 statistiques IoT
Dans quelle mesure vos données sont-elles sécurisées avec l'IoT et les appareils intelligents ?
Comment trouver et supprimer votre appareil du moteur de recherche Shodan IoT

3D-Online

Informations, Outils, Avis Et Comparaisons, Pour Aider Les Lecteurs À Améliorer Leur Cybersécurité Et Leur Confidentialité Sur Internet.