Un projet de loi imposant des fonctions de sécurité pour les objets connectés a été voté par l’Etat de Californie au milieu du mois de septembre. Une grande première. Si ce texte sur l’IoT est signé par le gouverneur, il imposera aux fabricants sur le sol américain de respecter certaines règles de sécurité, déjà jugées insuffisantes par les spécialistes et les internautes.
Les objets connectés entrent peu à peu dans les foyers. Pratiques ou dédiés aux loisirs, il faut compter avec eux et les menaces qu’ils apportent, que ce soit en termes de sécurité ou de confidentialité des données. C’est pourquoi l’Etat de Californie a adopté jeudi 13 septembre un projet de loi sur la sécurité de l’Internet des objets (IoT). Baptisé « SB-327 Confidentialité des informations : Périphériques connectés », le texte impose des règles pour tous les appareils connectés vendus aux États-Unis.
Loi appliquée en 2020 ?
Si ce texte est signé par le gouverneur de Californie, il concernera tout appareil pouvant se connecter à Internet et possédant une adresse IP ou Bluetooth, note Developpez.com. A compter du 1er janvier 2020, il obligerait les fabricants à équiper leurs appareils de plusieurs fonctionnalités de sécurité.
Ces nouvelles fonctions devront convenir à la nature et à la fonction de l’appareil. Elles devront aussi être « adaptées aux informations qu’il peut collecter, contenir ou transmettre » et conçues « pour protéger l’appareil et toute information qu’il contient contre tout accès, destruction, utilisation, modification ou divulgation non autorisés », selon le projet de loi.
Vision parcellaire de la sécurité
Ainsi, si un objet connecté est équipé d’un moyen d’authentification en dehors d’un réseau local, le fabricant doit prévoir une « fonctionnalité de sécurité raisonnable » – par exemple, un mot de passe préprogrammé unique pour chaque appareil fabriqué ou une fonction de sécurité nécessitant la création d’un nouveau moyen d’authentification pour accéder à l’appareil.
Si ce texte est un pas en avant, sa définition de la sécurité reste sommaire et incomplète, selon la société Sophos. Le texte reste muet sur l’attestation de périphérique, la signature de code ou d’un audit de sécurité pour les composants de bas niveau achetés aux fournisseurs étrangers. De nombreux internautes ont partagé leur inquiétude face à ce texte lacunaire en matière de cybersécurité. Le projet de loi reste une première du genre en matière d’IoT.
