Internet des objets Les appareils (IoT) – essentiellement, les appareils électroniques comme les trackers de fitness et les ampoules intelligentes qui se connectent à Internet – font désormais partie de la vie quotidienne de la plupart.

Cependant, la cybersécurité reste un problème, et selon Kaspersky, cela ne fait qu’empirer : il y a eu 1,5 milliard de violations d’appareils IoT au cours des six premiers mois de 2021 seulement, selon le fournisseur d’antivirus, soit presque le double de 639 millions pour l’ensemble de 2021. C’est en grande partie parce que la sécurité a longtemps été une réflexion après coup pour les fabricants d’appareils généralement peu coûteux qui continuent à être livrés avec des mots de passe devinables ou par défaut et des composants tiers non sécurisés.

Dans le but d’essayer d’améliorer les informations d’identification de sécurité des appareils IoT grand public, le gouvernement britannique a présenté cette semaine au Parlement le projet de loi sur la sécurité des produits et l’infrastructure de télécommunications (PST), une législation qui oblige les fabricants, importateurs et distributeurs IoT à respecter certaines normes de cybersécurité.

Le projet de loi décrit trois domaines clés de normes de sécurité minimales. Le premier est l’interdiction des mots de passe universels par défaut – tels que « mot de passe » ou « admin » – qui sont souvent prédéfinis dans les paramètres d’usine d’un appareil et sont facilement devinables. La seconde exigera des fabricants qu’ils fournissent un point de contact public pour permettre à quiconque de signaler plus facilement une faille de sécurité. Et le troisième est que les fabricants d’IoT devront également tenir les clients informés de la durée minimale pendant laquelle un produit recevra des mises à jour de sécurité vitales.

Ce nouveau régime de cybersécurité sera supervisé par un régulateur non encore désigné, qui aura le pouvoir d’imposer des sanctions de type RGPD ; les entreprises qui ne se conforment pas au PSTI pourraient se voir infliger une amende de 10 millions de livres sterling ou 4 % de leur chiffre d’affaires annuel, ainsi que jusqu’à 20 000 livres sterling par jour en cas d’infraction en cours.

À première vue, le projet de loi PSTI semble être un pas dans la bonne direction, et l’interdiction des mots de passe par défaut en particulier a été largement saluée…