Le gouvernement britannique déclare la guerre à la cybercriminalité: les mots de passe par défaut faibles seront interdits

UK Bans IoT Devices With Default Passwords

Hier, Matt Warman, le ministre britannique du Département du numérique, de la culture, des médias et des sports (DCMS), a déclaré au Telegraph que lui et son équipe souhaitaient faire du Royaume-Uni ''l'endroit le plus sûr pour être en ligne''. Cela sonne bien, mais demandez à n'importe quel politicien dans n'importe quel pays, et ils vous diront exactement la même chose au sujet de la parcelle de terrain dont ils sont responsables. Les élus britanniques estiment cependant qu'ils savent comment s'y prendre.

DCMS a annoncé qu'il travaillait sur une législation interdisant les ventes au Royaume-Uni d'appareils IoT fournis avec des mots de passe faibles et par défaut. Le ministère proposera un projet de loi qui, il l'espère, sera bien reçu par les députés et sera transformé en loi. "Dès que possible" était le plus proche d'une ETA que le gouvernement pourrait proposer, ce qui n'est pas exactement un calendrier solide, mais du bon côté, chaque fois que cela se produit, l'interdiction des mots de passe par défaut dans les gadgets intelligents sera sûrement bonne nouvelle, non?

Le gouvernement britannique comprend le problème dans une certaine mesure

La très bonne nouvelle est que de plus en plus de gens commencent à se rendre compte du problème. La vague sans fin de gadgets connectés à Internet a transformé notre vie quotidienne, mais elle a sans doute eu un effet encore plus profond sur le paysage des menaces en ligne. La plupart des engins IoT que nous achetons par millions sont incroyablement faciles à compromettre, et ils peuvent servir de véhicule pour tout, des farces (relativement) inoffensives aux attaques DDoS perturbatrices et au cyberharcèlement.

Il est souvent aussi facile de pirater une ampoule intelligente, un moniteur pour bébé ou un autre élément de la technologie IoT que d'utiliser un moteur de recherche spécialisé et de rechercher la marque et le modèle sur Google pour obtenir les informations de connexion par défaut. Dans certains cas, il suffit d'essayer des combinaisons simples comme "123456". DCMS pense que l'interdiction des mots de passe faibles et par défaut peut rendre la vie des pirates beaucoup plus difficile. Mais la législation proposée aura-t-elle vraiment l'effet escompté?

Les mots de passe par défaut et faibles ne sont qu'une partie du problème

Le mot de passe par défaut a souvent été salué comme la principale raison de la sécurité déplorable de l'IoT. C'est (au moins en partie) parce que le grand public a plus de facilité à comprendre comment ce type d'attaque fonctionne. C'est aussi pourquoi le mot de passe facilement accessible est la première chose que les législateurs recherchent. La vérité est, cependant, aussi souvent qu'autrement, les informations d'identification de connexion par défaut ne sont qu'une partie du problème.

L'année dernière, par exemple, la Commission européenne a publié un rappel pour un lot de montres connectées pour enfants concernant des problèmes de confidentialité. Dans ce cas, le problème n'était pas le mot de passe par défaut, mais le fait que les gadgets transféraient de gros volumes d'informations sensibles sans les chiffrer d'aucune façon. Il existe un certain nombre d'autres exemples qui n'ont rien à voir avec le processus d'authentification mais qui servent toujours de preuve de la médiocrité de la sécurité de certains appareils IoT.

Les raisons de la situation actuelle sont assez claires pour quiconque a prêté une attention particulière à la soi-disant révolution de l'IoT. Les vendeurs sont en course pour satisfaire un désir récemment découvert de connecter des objets du quotidien à Internet le plus rapidement et le moins cher possible. Les conceptions sont précipitées et construites sur une base restreinte, et parce que toutes ces engins sont censés apporter un peu de nouveauté, la facilité d'utilisation a la priorité sur tout problème de confidentialité ou de sécurité.

Le gouvernement britannique sait que le problème va au-delà du mot de passe par défaut. L'interdiction proposée des appareils qui utilisent des informations d'identification de connexion faibles fait partie d'un code de bonnes pratiques plus large concernant la sécurité de l'IoT. Élaboré en 2018, il comprend pas mal d'autres points qui, pour le moment, ne sont que des recommandations. S'ils sont transformés en loi, les fournisseurs IoT seront obligés d'avoir des plates-formes publiques de rapport de vulnérabilité, et ils pourraient même avoir besoin de commencer à mettre des étiquettes d'avertissement sur leurs produits pour informer les utilisateurs que les gadgets intelligents peuvent être attaqués par des pirates. Malheureusement, nous ne sommes pas sûrs que cela suffirait.

Les fournisseurs et les utilisateurs doivent commencer à prendre la sécurité plus au sérieux

L'IoT a déjà été au centre de plusieurs incidents majeurs de cybersécurité, et le gouvernement britannique n'est pas le premier organisme de réglementation à réaliser que quelque chose doit être fait. En fait, une loi interdisant l'utilisation de mots de passe par défaut a été adoptée dans l'État de Californie en 2018, et le 1er janvier, elle est entrée en vigueur. Nous n'avons pas encore vu son efficacité, mais nous sommes à peu près sûrs que d'autres gouvernements locaux et nationaux emboîteront le pas.

Le problème est que la législation ne peut vous mener que jusqu'à présent. Le nombre de facteurs régissant la sécurité d'un seul appareil IoT est ahurissant, et leur régulation n'est tout simplement pas possible. Si la situation doit s'améliorer, nous avons besoin d'un changement fondamental dans la façon dont les fournisseurs et les utilisateurs pensent.

Même si nous supposons que les lois récentes inciteront les fabricants à proposer un système de connexion plus sécurisé, rien ne les empêchera de construire le reste de leur infrastructure dorsale de la manière la plus rapide, la moins chère et la moins sûre possible. Les failles de sécurité béantes constatées dans de nombreux objets IoT montrent que certains fournisseurs doivent se rendre compte qu'ils sont responsables de la sécurité de leurs clients et réorganiser leurs listes de priorités en conséquence. Cela étant dit, nous ne pouvons pas blâmer tous les fournisseurs.

La mentalité «ça ne m'arrivera pas» que beaucoup de gens ont adoptée ne nous rend pas service. Les fournisseurs IoT ont tendance à expédier leurs produits avec un mot de passe par défaut, car cela rend la configuration d'un appareil pour la première fois plus facile et plus rapide. Ils comprennent également une fonction qui permet de changer le mot de passe par défaut, et le fait est que de nombreux clients ne l'utilisent pas.

Le point de l'IoT est d'apporter seulement des changements positifs dans nos vies, mais il est assez clair que dans sa forme actuelle, cela pose également des problèmes. Les législateurs britanniques et californiens tentent de résoudre certains d'entre eux, mais le véritable changement ne peut venir que des personnes qui conçoivent et utilisent les appareils intelligents.

Par Duran
January 28, 2020
News
Français
January 28, 2020
News

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.