Informatique

L’Internet des objets prend de l’ampleur, mais la sécurité

L'Internet des objets prend de l'ampleur, mais la sécurité reste à la traîne

Quatre fabricants de dispositifs de l’internet des objets (IoT) sur cinq ne respectent pas les pratiques de base en matière de cybersécurité, car ils n’offrent pas de moyen de signaler les failles de sécurité de leurs produits aux fournisseurs afin qu’ils puissent les corriger, ce qui peut exposer les utilisateurs de ces dispositifs à des cyberattaques et à des atteintes à la vie privée.

L’IoT Security Foundation (IoTSF), un groupe de l’industrie technologique qui vise à encourager la sécurisation de l’Internet des objets, a analysé dans un rapport annuel des centaines de fabricants de produits IoT populaires et a constaté que seul un peu plus d’un sur cinq propose un canal public pour signaler les failles de sécurité afin qu’elles soient corrigées.

Dans l’ensemble, les résultats sont largement similaires à ceux de 2020, l’Asie était en tête et l’Europe à la traîne. Les 21 % de fournisseurs proposant ce type de canal ont légèrement augmenté depuis l’année dernière, ce que le rapport de l’IoT Security Foundation qualifie de progrès « glacial » pour fournir ce qu’il décrit comme « un mécanisme d’hygiène de base ».

Des pratiques pas toujours comprises

Et ce, bien que des pays, dont le Royaume-Uni, les États-Unis, Singapour, l’Inde et l’Australie, ainsi que l’Union européenne tentent d’insister sur l’importance de la cybersécurité des dispositifs IoT et sur la possibilité de divulguer des vulnérabilités.

Le rapport note qu’une partie de l’absence de politique de divulgation des vulnérabilités pourrait être attribuée aux « entreprises informatiques non traditionnelles » qui entrent pour la première fois sur le marché de l’IoT, comme les fournisseurs de mode qui lancent des produits connectés ou les fabricants d’appareils de cuisine qui ajoutent des fonctions intelligentes à leurs produits.

Dans ces cas, il est très probable que le fabricant n’a jamais eu à penser à intégrer la cybersécurité dans les produits eux-mêmes, de sorte que non seulement les vulnérabilités peuvent se retrouver dans les appareils, mais il n’y a pas de procédure établie pour les signaler.

Néanmoins, le rapport souligne que « les meilleures pratiques liées à l’IoT sont librement accessibles à toute personne disposant d’une connexion internet depuis 2017 » et que la façon dont quatre entreprises sur cinq ne fournissent pas de mécanisme permettant de signaler les vulnérabilités de sécurité afin qu’elles puissent être corrigées est « inacceptablement faible », et cela pourrait indiquer des problèmes plus larges.

« Certaines entreprises en sont encore à l’âge des ténèbres en ce qui
concerne leur attitude envers les chercheurs en sécurité. Leur réaction
sera d’envoyer leurs avocats sur les chercheurs ou d’essayer de les
forcer à signer des accords de confidentialité. C’est un comportement
vraiment stupide, alors que nous avons des normes ISO à ce sujet depuis
2014 et que cela est considéré comme une bonne pratique depuis encore
plus longtemps. Lorsque la législation arrivera, certaines de ces
entreprises vont avoir un gros choc », a déclaré à ZDNet David Rogers,
PDG de Copper Horse, la société à l’origine de la recherche.

Mettre en place les bons process

Les appareils de l’internet des objets sont de plus en plus présents dans les foyers et les bureaux. Bien que de nombreuses marques de produits ménagers veillent à ce que leurs produits soient équipés de bonnes pratiques de sécurité – le rapport cite des entreprises technologiques telles que Sony, Panasonic, Samsung, LG, Google, Microsoft, Dell, Lenovo, Amazon, Logitech et Apple – il est fréquent que les consommateurs achètent des alternatives moins chères qui ne mettent pas autant l’accent sur la sécurité.

Cela signifie que si des vulnérabilités de sécurité sont découvertes et qu’il n’y a aucun moyen d’en informer le fabricant, cela pourrait mettre les utilisateurs en danger. C’est particulièrement vrai pour les entreprises qui semblent avoir fermé leurs portes – ce qui est le cas de certaines d’entre elles, comme le souligne le rapport – ce qui signifie que même s’il existe un moyen de signaler la vulnérabilité, il est peu probable qu’elle soit corrigée.

Mais si le document de recherche présente souvent une image sombre du paysage de la sécurité de l’IoT aujourd’hui, l’IoT Security Foundation pense que cela finira par changer et que la sécurité deviendra un élément fondamental de la conception des produits. « La sécurité est un peu comme la qualité. Pour qu’elle soit correctement assurée, elle doit être endémique dans tous les processus d’une entreprise, de sorte qu’elle soit garantie de bout en bout, c’est-à-dire qu’elle ne soit pas une réflexion après coup ou un ajout », a déclaré John Moor, directeur de l’IoT Security Foundation, à ZDNet.

« Je suis convaincu que la sécurité suivra un chemin similaire à celui de la qualité au cours des 30 dernières années, au fur et à mesure que nous transformons notre société et nos économies pour qu’elles soient plus numériques – si nous établissons une compréhension générale de son importance fondamentale et que nous mettons en place les bons processus, nous y parviendrons naturellement, et non comme un ajout », a-t-il ajouté.

Source : ZDNet.com




Source link

Articles similaires

Bouton retour en haut de la page