La fin des mots de passe génériques ?

Une ère nouvelle de sécurité pour les appareils connectés se profile au Royaume-Uni avec l’entrée en vigueur du Product Security and Telecommunications Infrastructure Act 2022 (PSTI). Cette loi impose des règles strictes aux fabricants et vendeurs d’appareils IoT, visant à protéger les consommateurs contre les mots de passe par défaut trop faibles et les risques de sécurité qui en découlent.

Désormais, attribuer des mots de passe tels que « admin » ou « 123456 » par défaut à un appareil pourrait coûter cher aux fabricants et vendeurs. Ces pratiques sont désormais passibles de considérables amendes ou même de rappels de produits. L’une des exigences clés de cette législation est que chaque appareil soit doté d’un mot de passe unique par défaut, interdisant l’utilisation de mots de passe simples ou facilement devinables, ainsi que l’attribution d’un même mot de passe à une série d’appareils. C’est ce que stipule et impose le nouveau loi britannique Product Security and Telecommunications Infrastructure Act 2022 (PSTI), qui a été promulguée lors de la Journée des Mots de Passe, le 2 mai.

Les sanctions en cas de non-conformité à cette nouvelle réglementation sont sévères, avec des amendes pouvant atteindre jusqu’à dix millions de livres ou quatre pour cent du chiffre d’affaires mondial des fabricants ou vendeurs, selon le montant le plus élevé.

Cette initiative britannique s’inscrit dans un contexte plus large de renforcement de la sécurité des appareils connectés en Europe. En effet, l’Union européenne travaille également sur des mesures similaires avec le Cyber Resilience Act, actuellement en phase de finalisation. Bien que les détails concernant les mots de passe ne soient pas aussi explicites dans cette législation européenne, elle vise également à garantir une sécurité adéquate pour les appareils dotés de composants numériques.

Il est donc envisageable que les fabricants réagissent à ces exigences réglementaires non seulement sur le marché britannique, mais également à l’échelle européenne, si les réglementations européennes suivent le même chemin que celles du Royaume-Uni. Cette convergence réglementaire pourrait entraîner des changements significatifs dans la façon dont les appareils connectés sont sécurisés et protégés contre les vulnérabilités liées aux mots de passe par défaut.

Une loi déjà en Californie, depuis 5 ans. Par extension, à l’ensemble des USA, quand les marques commercialisent leurs produits hors des frontières de cet État américain.

Ca tire dans tous les sens, même sur OnlyFan

Pendant ce temps, l’OFCOM, le régulateur britannique des communications, a lancé une enquête sur OnlyFans pour déterminer si la plateforme fait suffisamment pour empêcher les enfants d’accéder à du contenu pornographique. Conformément aux règles du Royaume-Uni, les plateformes de partage vidéo doivent prendre des mesures pour protéger les mineurs contre ce type de contenu. Bien qu’OnlyFans ait mis en place un système de vérification de l’âge, l’OFCOM doute de son efficacité [vous la voyez venir la pièce d’identité numérique unique ?].

Un porte-parole d’OnlyFans a déclaré que la plateforme travaille en étroite collaboration avec le régulateur pour renforcer la sécurité en ligne, y compris le contrôle de l’âge. Les utilisateurs doivent fournir leur nom et leurs données de carte de paiement, et un système de vérification d’âge gouvernemental, Yoti, est utilisé. Cependant, une erreur de codage chez Yoti a temporairement indiqué une limite d’âge supérieure à 18 ans, ce que OnlyFans a signalé à l’OFCOM dès qu’elle a été découverte.

À noter qu’à partir du 13 juillet 2024, en France, une autre obligation légale impactera définitivement les matériels connectés : l’obligation d’un contrôle parental sur tous les objets permettant l’accès à Internet.

Recevez les infos de la semaine ZATAZ, chaque samedi, via la news letter des cyber’actus.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Matthieu Reply

    Des solutions sures et respectueuses de la vie privée pourraient être implémentées :
    https://linc.cnil.fr/demonstrateur-du-mecanisme-de-verification-de-lage-respectueux-de-la-vie-privee

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.