Aussi utiles que soient les appareils connectés comme les sonnettes vidéo et les lumières intelligentes, il est sage de faire de l’exercice prudence lors de l’utilisation de technologies connectées chez vous, surtout après des années de lecture sur les piratages de caméras de sécurité, attaques de botnets de réfrigérateur, et les poêles intelligents s’allument tout seuls. Mais jusqu’à présent, il n’existait pas de moyen simple d’évaluer les capacités de sécurité d’un produit. Un nouveau programme du Alliance des normes de connectivité (CSA)le groupe à l’origine du standard de maison intelligente Matter, veut résoudre ce problème.
Annoncé cette semaine, le Spécification de sécurité des appareils IoT de la CSA est une norme de base en matière de cybersécurité et un programme de certification qui vise à fournir une certification de sécurité unique et mondialement reconnue pour les appareils IoT grand public.
Les fabricants d’appareils qui adhèrent aux spécification et suivre le processus de certification peuvent porter la nouvelle marque Product Security Verified (PSV) de la CSA. Si la caméra de sécurité ou l’ampoule intelligente que vous achetez porte la marque, vous saurez qu’elle répond aux exigences visant à la protéger contre les tentatives de piratage malveillantes et autres intrusions susceptibles d’avoir un impact sur votre vie privée.
« C’est un énorme pas en avant d’avoir une certification mondiale de sécurité IoT grand public. C’est tellement mieux que de ne pas en avoir », Steve Hanna, Infineon
« Les recherches montrent continuellement que les consommateurs considèrent la sécurité comme un facteur important d’achat d’appareils, mais ils ne savent pas quoi rechercher du point de vue de la sécurité pour prendre une décision d’achat éclairée », explique Eugene Liderman, directeur de la stratégie de sécurité mobile chez Google. Le bord. « Des programmes comme celui-ci donneront aux consommateurs un indicateur simple et facilement identifiable à rechercher. »
Liderman fait partie du groupe de travail CSA qui a défini la spécification 1.0 du programme, qui a été développé par plus de 200 entreprises membres du CSA. Il s’agit notamment (avec Google) d’Amazon, Comcast, Signify (Philips Hue) et de plusieurs fabricants de puces tels qu’Arm, Infineon et NXP.
Selon Tobin Richardson, PDG du CSA, les produits portant la marque PSV pourraient commencer à apparaître dès cette période de magasinage des Fêtes.
Une marque de cybersécurité pour les gouverner tous
Le Annonce du CSA le 18 mars fait suite à l’annonce de la semaine dernière selon laquelle le La FCC a approuvé la mise en œuvre de son nouveau programme d’étiquetage de cybersécurité pour les appareils IoT grand public aux États-Unis. Les deux programmes sont volontaires et le label CSA ne concurrence pas le Cyber Trust Mark américain. Au lieu de cela, il va encore plus loin, en reprenant toutes les exigences américaines et en ajoutant des bases de cybersécurité provenant de programmes similaires à Singapour et en Europe. Le résultat final est un programme unique de spécifications et de certification qui peut fonctionner dans plusieurs pays (voir l’encadré).
Richardson affirme que l’objectif est que la marque PSV de la CSA soit reconnue par les gouvernements, afin que les fabricants puissent passer par un seul processus de certification pour vendre sur tous les principaux marchés. Cela pourrait réduire les coûts et la complexité pour les fabricants et potentiellement offrir plus de choix aux consommateurs.
La marque PSV a été reconnu par la Cyber Security Agency de Singapour, et le CSA affirme travailler sur la reconnaissance mutuelle avec des programmes similaires aux États-Unis, dans l’Union européenne et au Royaume-Uni. « C’est très probable, et avec certains [countries], c’est une certitude », déclare Richardson. « Il s’agit principalement de remplir quelques formalités administratives. »
Pour obtenir le label PSV, les appareils doivent être conformes aux Spécification de sécurité des appareils IoT 1.0 et suivre un programme de certification qui consiste à répondre à un questionnaire et à fournir des preuves à un laboratoire de test agréé. Les points saillants des exigences comprennent :
- Identité unique pour chaque appareil IoT
- Aucun mot de passe par défaut codé en dur
- Stockage sécurisé des données sensibles sur l’appareil
- Communications sécurisées d’informations pertinentes pour la sécurité
- Mises à jour logicielles sécurisées tout au long de la période de support
- Processus de développement sécurisé, y compris la gestion des vulnérabilités
- Documentation publique concernant la sécurité, y compris la période de support
Selon le CSA, le programme volontaire s’applique à la plupart des appareils connectés pour la maison intelligente, notamment les ampoules, les interrupteurs, les thermostats et les caméras de sécurité, et peut être appliqué rétroactivement aux produits disponibles sur le marché. En plus de la marque PSV, « une URL imprimée, un lien hypertexte ou un code QR sur la marque permet aux consommateurs d’accéder à plus d’informations sur les fonctionnalités de sécurité de l’appareil », indique la CSA dans son communiqué de presse.
Le programme se concentre spécifiquement sur la sécurité des appareils – en s’assurant que l’appareil physique lui-même n’est pas accessible – plutôt que sur la confidentialité. « Mais il existe un lien étroit dans la mesure où il ne peut y avoir de confidentialité sans sécurité », explique Richardson. Bien que la sécurité ait un impact sur la confidentialité, ce programme n’offre pas beaucoup d’exigences quant à la manière dont un fabricant utilise les données collectées par un appareil. Le CSA dispose d’un groupe de travail distinct sur la confidentialité des données qui s’occupe de cette boîte de Pandore.
Une meilleure sécurité, mais toujours pas parfaite
L’itération actuelle du programme n’est pas une solution miracle pour résoudre les problèmes de sécurité des appareils IoT. Steve Hanna d’Infineon Technologies, chercheur en cybersécurité depuis 25 ans et président du groupe de travail CSA pour le programme, a déclaré : Le bord il y a encore d’autres choses qu’il aimerait voir incorporées. « Mais nous devons ramper, marcher, puis courir », dit-il. « C’est un énorme pas en avant d’avoir une certification mondiale de sécurité IoT grand public. C’est tellement mieux que de ne pas en avoir.
Liderman de Google souligne également que le respect des normes de sécurité minimales ne garantit pas qu’un appareil soit exempt de vulnérabilité. « Nous sommes convaincus que l’industrie doit relever la barre au fil du temps, notamment pour les catégories de produits sensibles », dit-il.
La CSA prévoit maintenir la spécification à jour, obligeant les entreprises à recertifier au moins tous les trois ans. De plus, Richardson affirme qu’un processus de réponse aux incidents sera nécessaire. Ainsi, si une entreprise rencontre un problème de sécurité, comme les problèmes récents de Wyze, elle devra les résoudre avant de pouvoir être recertifiée.
Une API pourrait permettre à une application de plateforme de maison intelligente de vous alerter de l’état de sécurité d’un appareil avant qu’il ne puisse rejoindre votre réseau.
Pour répondre aux préoccupations concernant l’utilisation abusive du label, Hanna affirme que la CSA disposera d’une base de données de tous les produits certifiés sur son site Web afin que vous puissiez recouper les allégations d’une entreprise. Il indique également qu’il est prévu de rendre les informations disponibles dans une API, ce qui pourrait permettre à votre application de plateforme de maison intelligente de vous alerter de l’état de sécurité d’un appareil avant qu’il ne puisse rejoindre votre réseau.
Hanna met en garde contre des attentes trop élevées. « Certaines entreprises sont enthousiastes à l’idée de reconnaître le travail qu’elles ont déjà accompli, mais nous ne devrions pas nous attendre à ce que chaque produit ait cela », dit-il. Certains peuvent constater qu’ils ont des problèmes qui les empêchent d’obtenir une certification, dit-il. « Si ou quand ces mesures deviennent exigées par les gouvernements, c’est là que le caoutchouc entre en jeu. »
Un programme volontaire peut sembler être un doigt dans le barrage, mais il résout deux problèmes fondamentaux. Pour les fabricants, cela simplifie la conformité aux réglementations de plusieurs pays en une seule étape, tandis que pour les consommateurs, cela ouvre la voie à des informations sur le type de pratiques de sécurité auxquelles une entreprise adhère.
« Sans label ni marque, il peut être difficile en tant que consommateur de prendre une décision d’achat basée sur la sécurité », déclare Hollie Hennessy, experte en cybersécurité IoT chez cabinet d’analyse technologique Omdia. Bien que le caractère volontaire du programme puisse constituer un obstacle à l’adoption, Hennessy affirme que les recherches de son entreprise indiquent que les gens sont plus susceptibles d’acheter un appareil portant un étiquetage de confidentialité et de sécurité.
En fin de compte, Hennessy estime qu’une combinaison de normes et de certifications comme celle-ci, ainsi que de réglementations et de législations, est nécessaire pour répondre aux préoccupations des consommateurs concernant la confidentialité et la sécurité des appareils connectés. Mais cette décision constitue un grand pas dans la bonne direction.