L'Institut européen des normes de télécommunications (ETSI) a publié des lignes directrices visant à renforcer la cybersécurité et la protection des données des appareils IoT grand public.

Avec un nombre croissant d’appareils domestiques connectés à Internet, ces directives nous rappellent opportunément les vulnérabilités liées à la commodité et à la connectivité.

« Les consommateurs dépendent de plus en plus des appareils connectés pour des transactions sécurisées, il est donc crucial pour les fabricants de gagner cette confiance, en donnant la priorité à la sécurité dès la conception », a déclaré Jan Ellsberger, directeur général de l'ETSI.

« Ces lignes directrices visent à remédier aux vulnérabilités les plus importantes et je suis convaincu qu'elles contribueront à créer un écosystème IoT plus sûr, tant que nous resterons vigilants, sachant très bien que ce travail n'est jamais « terminé ».

Corriger les failles de sécurité de base de l’IoT grand public

Le document souligne qu’il n’a pas l’intention de fournir des solutions exhaustives à tous les problèmes de sécurité, de protection des données et de confidentialité liés à l’IoT grand public. Au lieu de cela, il cible les vulnérabilités les plus urgentes et les plus répandues en offrant un « niveau de base de sécurité et de protection des données ».

Selon le rapport, cette base de référence est conçue pour protéger contre « les attaques élémentaires contre les faiblesses fondamentales de la conception, telles que l’utilisation de mots de passe faciles à deviner ».

La portée du document couvre une myriade d'appareils IoT grand public, allant des assistants domestiques intelligents et des appareils connectés aux trackers de santé portables et aux caméras intelligentes.

En particulier, les lignes directrices prennent en compte les contraintes des ressources des appareils, qui peuvent affecter les capacités de sécurité, comme indiqué dans le rapport : « Les ressources typiques des appareils qui pourraient limiter les capacités de sécurité sont l'approvisionnement en énergie, la bande passante de communication, la puissance de traitement ou (non) capacité de mémoire volatile ».

Mesures proactives pour la gestion des vulnérabilités

Une section importante des lignes directrices est centrée sur la gestion des vulnérabilités. L'ETSI affirme la nécessité pour les fabricants de maintenir un « devoir de diligence envers les consommateurs et les tiers » en mettant en œuvre un programme coordonné de divulgation des vulnérabilités (CVD).

Cette initiative CVD vise à garantir que les fabricants sont prêts à gérer les vulnérabilités de sécurité de manière responsable, protégeant ainsi leurs produits contre toute exploitation malveillante.

Les lignes directrices recommandent aux fabricants de publier une « politique de divulgation des vulnérabilités », stipulant – au minimum – les coordonnées pour signaler les problèmes, les délais pour accuser réception des rapports de vulnérabilité et les mises à jour de statut. Cette transparence est considérée comme essentielle au maintien de la confiance et de l’efficacité dans la gestion des vulnérabilités.

Garder à jour les logiciels IoT grand public

L'ETSI souligne l'importance de maintenir les logiciels à jour avec les derniers correctifs de sécurité. Le document souligne le rôle du fabricant en garantissant que « tous les composants logiciels des appareils IoT grand public qui ne sont pas immuables pour des raisons de sécurité puissent être mis à jour en toute sécurité ». Les fabricants sont invités à séparer les mises à jour de sécurité des mises à jour de fonctionnalités pour éviter les complications et garantir une livraison dans les délais.

À mesure que les appareils grand public sont de plus en plus intégrés dans des aspects critiques de la vie, la fourniture de mises à jour est considérée comme cruciale pour maintenir la sécurité. « Les mises à jour de sécurité doivent être effectuées en temps opportun », exige le document, reconnaissant les complexités inhérentes au déploiement de mises à jour en temps opportun.

Assurer la protection des données

Outre la cybersécurité, la protection des données reste un point central des lignes directrices de l'ETSI. Étant donné que de nombreux appareils IoT traitent des données personnelles, l’importance de sécuriser ces informations ne peut être surestimée.

Les lignes directrices de l'ETSI affirment la nécessité pour les fabricants de fournir « des informations claires et transparentes sur les données personnelles traitées et à quelles fins ».

Les développeurs de produits IoT sont encouragés à mettre en place des mécanismes permettant aux utilisateurs de retirer leur consentement au traitement des données, garantissant ainsi le respect des exigences réglementaires et la protection des données personnelles.

Le document stipule également que la collecte de données doit être limitée à ce qui est nécessaire à la fonctionnalité prévue, prônant l'utilisation de techniques d'anonymisation pour protéger la vie privée des utilisateurs.

Sécuriser la communication et le stockage

L’une des dispositions clés est la communication sécurisée et le stockage des paramètres de sécurité critiques. Les directives de l'ETSI insistent sur le fait que « les paramètres de sécurité sensibles dans le stockage persistant doivent être stockés en toute sécurité par l'appareil IoT grand public ».

En utilisant des mécanismes tels que le stockage crypté et des éléments sécurisés, les fabricants doivent atténuer les risques associés à la compromission des paramètres de sécurité.

En outre, l'ETSI accorde de l'importance à la communication sécurisée des appareils IoT grand public, déclarant que ces appareils « doivent utiliser les meilleures pratiques de cryptographie pour communiquer en toute sécurité ».

En donnant la priorité à l'utilisation d'implémentations cryptographiques évaluées, les lignes directrices visent à garantir une gestion sécurisée des données sur les interfaces réseau.

Renforcer la résilience face aux pannes

La résilience des appareils IoT grand public contre les pannes, qu'il s'agisse des réseaux de données ou de l'alimentation électrique, est un autre aspect critique abordé par les lignes directrices.

Les produits devraient « rester opérationnels et fonctionnels localement en cas de perte d’accès au réseau et devraient se rétablir proprement en cas de rétablissement d’une perte de puissance ». Cette disposition est particulièrement importante pour maintenir la confiance des consommateurs et éviter les implications en matière de sécurité associées aux pannes d'appareils.

Alors que l’IoT s’enracine de plus en plus dans les fonctions personnelles et sociétales essentielles, la résilience face aux perturbations reste primordiale.

Les lignes directrices mettent l'accent sur l'ordre lors des reconnexions du réseau et favorisent des systèmes qui minimisent les demandes simultanées des appareils IoT, réduisant ainsi le risque de refus de service.

Appel à l’action pour les fabricants d’IoT grand public

En mettant l'accent sur le renforcement des principes fondamentaux de sécurité, les lignes directrices de l'ETSI visent à aider les fabricants à favoriser des écosystèmes IoT plus sûrs et plus fiables.

Le rapport se termine par une note de prudence et d'anticipation, laissant entendre qu'à mesure que les mesures de sécurité s'améliorent, les futures révisions des lignes directrices pourraient rendre obligatoires les dispositions actuellement recommandées.

En établissant ces normes, l'ETSI ouvre la voie à un avenir IoT plus sécurisé, où les avantages de la connectivité ne se font pas au détriment de la sécurité et de la confidentialité.

(Image de Pete Linforth)