Mathieu
**UNE NOUVELLE ÉTIQUETTE DE CYBERSÉCURITÉ POUR LES DISPOSITIFS CONNECTÉS SERA BIENTÔT DISPONIBLE AUX ÉTATS-UNIS**
Le gouvernement américain, sous l’administration Biden, a annoncé aujourd’hui le lancement d’une nouvelle étiquette de cybersécurité pour les appareils intelligents. Lors d’une conférence de presse, la présidente de la Commission des communications fédérales (FCC), Jessica Rosenworcel, a déclaré que la nouvelle étiquette, appelée “US Cyber Trust Mark”, indiquera que les appareils portant cette étiquette sont conformes aux normes de sécurité établies dans un rapport du National Institute of Standards and Technology (NIST). Ce programme volontaire devrait être mis en place en 2024, avec les étiquettes apparaissant “bientôt après” sur les appareils.
Ce programme vise à couvrir les appareils connectés couramment utilisés dans les foyers tels que les réfrigérateurs intelligents, les micro-ondes intelligents, les téléviseurs intelligents et les systèmes de climatisation intelligents. Cependant, l’annonce mentionne également les “smart fitness trackers” comme des appareils qui seraient couverts par le programme de certification et d’étiquetage, ce qui laisse entendre des ambitions au-delà de la maison intelligente. Le programme bénéficie du soutien volontaire de plusieurs fabricants d’électronique, d’électroménagers et de produits de consommation, de détaillants et d’associations commerciales, notamment Google, Samsung, Logitech, Amazon, Best Buy, et la Connectivity Standards Alliance (organisme responsable de la norme de maison intelligente Matter).
La FCC “agit dans le cadre de ses compétences pour réglementer les dispositifs de communication sans fil” afin de proposer le programme de certification et d’étiquetage, qui, selon un communiqué de presse, exigerait des “mots de passe par défaut solides, une protection des données, des mises à jour logicielles et des capacités de détection des incidents”. Rosenworcel l’a comparé à Energy Star, qui indique que les produits, tels que les ordinateurs ou les appareils électroménagers, respectent certaines normes d’efficacité énergétique.
L’étiquette Cyber Trust est composée de deux parties : un logo apposé sur l’emballage d’un produit, et un code QR que les acheteurs peuvent scanner ultérieurement pour vérifier si l’appareil est toujours certifié, étant donné l’évolution des menaces en matière de cybersécurité et les correctifs nécessaires. Lors d’une interview avec la conseillère adjointe à la sécurité nationale, Anne Neuberger, j’ai demandé si le code QR serait utilisé pour fournir aux utilisateurs des informations de sécurité plus détaillées sur un produit, telles que savoir s’il nécessite une connexion Internet constante pour fonctionner. Neuberger a réitéré que le code QR permettrait de tenir les clients informés, en encourageant des idées de ce genre via des commentaires publics lorsque le moment viendra.
Un responsable de la FCC a déclaré lors de la séance de questions-réponses après la conférence de presse que la Commission envisageait des recertifications annuelles, mais les intervalles n’ont pas encore été décidés. Quant à qui sera responsable de la certification, Neuberger a déclaré que cela reviendrait à des laboratoires indépendants tels que la Connectivity Standards Alliance ou la Consumer Technology Association.
Neuberger a déclaré que l’étiquette est nécessaire pour “inciter le marché à concevoir des produits plus sécurisés dès leur conception”, affirmant que les entreprises pouvant se différencier grâce à cette étiquette pourraient être plus à l’aise avec les coûts plus élevés liés à une meilleure sécurité.
Elle a également déclaré que le programme contribuera à renforcer la responsabilité, car les produits de maison intelligente devront continuer à émettre des correctifs de sécurité au besoin pour conserver leur étiquette de confiance en cybersécurité. Neuberger a déclaré dans une interview avec le Verge qu’il y aura toujours “un jour zéro”, et a qualifié de “problématique” le fait que parfois, lorsque la communauté du renseignement divulgue une vulnérabilité de l’IoT aux entreprises, elles disent qu’elles en ont fini avec ces produits et ne publieront pas de correctif.
Lors de l’interview, Neuberger a fait référence au rapport du NIST lorsque j’ai demandé ce que la FCC considérerait comme un “produit IoT” dans le cadre du programme d’étiquetage Cyber Trust. Essentiellement, selon le NIST, tout appareil connecté au réseau avec un “capteur ou un actionneur” peut être considéré comme un “appareil IoT”, tandis que l’ensemble de cet appareil – l’application associée, le backend cloud et les concentrateurs spécifiques – est considéré comme le “produit IoT”.
Cependant, les dispositifs de réseau distincts tels que les concentrateurs Zigbee et Z-Wave qui ne sont associés à aucun appareil sont regroupés avec les routeurs Wi-Fi, qui n’ont pas été examinés dans le rapport. Le NIST définit les exigences de cybersécurité des routeurs grand public comme une priorité compte tenu des risques qu’ils présentent en matière d’écoute, de vol de mots de passe et d’autres activités malveillantes dans les foyers ciblés. Il prévoit de finaliser ce travail d’ici la fin de 2023 afin que la Commission puisse envisager les exigences de cybersécurité des routeurs pour les inclure dans le programme d’étiquetage.
L’administration Biden devrait dévoiler le nouveau logo Cyber Trust plus tard dans la journée lors d’une diffusion en direct depuis la Maison Blanche de 9h30 à 11h00 (heure de l’Est), révélant plus de détails sur le programme et les entreprises qui se sont déjà engagées.
Jusqu’à présent, l’administration mentionne les “participants” suivants en soutien à l’annonce d’aujourd’hui : Amazon, Best Buy, Carnegie Mellon University, CyLab, Cisco Systems, Connectivity Standards Alliance, Consumer Reports, Consumer Technology Association, Google, Infineon, Information Technology Industry Council, IoXT, KeySight, LG Electronics U.S.A., Logitech, OpenPolicy, Qorvo, Qualcomm, Samsung, UL Solutions, Yale and August U.S.
