Au Parlement européen, nouvelle étape pour enfin sécuriser les objets connectés
Bonjour caméra, voici chiffrement
Le 13 juillet 2018 à 07h55
7 min
Droit
Droit
Le 10 juillet, la commission ITRE du Parlement européen a adopté un nouveau brouillon de règlement, qui introduit une certification des produits et services numériques. Dans cette version, les entreprises devraient certifier volontairement leurs produits. En parallèle, l'agence européenne de cybersécurité gagnerait du galon.
Ce texte, porté par l'eurodéputée Angelika Niebler, est la dernière version en date d'un futur règlement européen. Celui-ci vise à instaurer une certification de sécurité des produits technologiques dans tous les pays de l'Union. Règlement oblige, aucune transposition nationale ne serait nécessaire pour qu'il s'applique.
L'enjeu est important : la sécurité déplorable des objets connectés qui arrivent sur le marché. Code contenant des mots de passe inchangeables, communications sans chiffrement, logiciels obsolètes, connexion inutile à Internet... Les grandes attaques de réseaux zombies (botnets) de la fin 2016, comme celle contre Dyn, ont servi d'électrochoc pour les pouvoirs publics. Wannacry et NotPetya, en 2017, ont enfoncé le clou.
En septembre 2017, la Commission européenne a donc lancé son projet de règlement, trituré ces derniers mois par le Parlement. L'idée est d'obtenir un système de certification en fonction de critères précis, avec la possibilité pour les objets les moins sensibles de s'auto-certifier, pour éviter les coûts d'audit. Les débats ont été nombreux, en particulier sur cette possibilité d'apposer soi-même un macaron « sûr » à son produit, sans contrôle préalable.
Une certification aux contours mouvants
Le règlement introduit une certification au niveau européen, en principe via des organismes agréés. Pour les eurodéputés de la commission ITRE, il n'est pas question de limiter cette validation aux produits et services, mais de l'étendre aux processus. Cette validation européenne d'un produit devrait tout de même exclure les jardins secrets des États, comme la lutte contre la criminalité, la sécurité publique ou la défense nationale.
Le dispositif serait chapeauté par l'agence européenne de sécurité informatique, l'Enisa, et la Commission.
Pas question d'une certification unique pour tous les produits. La commission de l'industrie propose une approche fondée sur le risque, et non un modèle de certification unique pour tous les cas. Elle réintroduit même l'idée d'une auto-certification des objets les moins sensibles, évacuée en septembre par la Commission européenne dans sa première proposition, malgré les demandes d'acteurs de poids comme l'Anssi.
Concrètement, le texte provisoire du Parlement introduit une certification volontaire pour la plupart des produits, avec une auto-certification pour le niveau le plus basique. Bien entendu, l'ensemble serait contrôlable a posteriori. Les produits prétendant toucher des utilisateurs ou entreprises sensibles devraient toujours se contraindre à une certification externe.
Il faudrait tout de même voir, dans le détail, l'équivalence avec les certifications déjà en place dans certains pays, comme la France, l'Allemagne et le Royaume-Uni.
La forme du certificat pose aussi question : la commission ITRE est circonspecte face à l'idée d'un tampon à apposer sur les produits. Dans cette version « ITRE » du règlement, les concepteurs devraient plutôt fournir une documentation obligatoire, détaillant la certification, la disponibilité des mises à jour et l'interopérabilité du produit. « La rapporteure préfère une telle déclaration à un label ou tampon qui pourraient tromper le consommateur » note le texte.
La commission ITRE demande aussi plus de transparence dans la gouvernance du système, avec un programme de travail multipartite. En mettant les autorités nationales au même niveau de pouvoir que la Commission. Cette organisation dirigerait les efforts en matière de certification avec tous les acteurs, en regardant les éventuelles équivalences nationales.
Autre idée : renforcer le poids des tiers en créant des groupes consultatifs spécifiques, avec industriels et tiers, gérés par l'Enisa.
Déception pour l'European Consumer Organisation
En réponse au vote, la Business Software Alliance demande un système de certification plus flexible, en évitant notamment d'introduire des obligations trop spécifiques, pour se concentrer sur des besoins de haut niveau. DigitalEurope, pour sa part, demande à étendre l'auto-certification à plus de produits.
Au contraire, l'European Consumer Organisation (BEUC) regrette le choix d'une certification volontaire, jugée peu contraignante.
« Il y a des règles pour rendre nos voitures sûres. Il y a des règles pour rendre notre nourriture sûre. Mais il n'y en a pas pour nos produits connectés. Il est très décevant que les institutions européennes semblent encore sous-estimer cette dimension du problème et ne veulent pas imposer une sécurité par conception et par défaut » déclare Monique Goyens, sa directrice générale.
Une agence européenne pour les coordonner toutes
Le règlement couvre aussi le rôle de l'Enisa, l'agence européenne de sécurité informatique, censée grandir dans les prochaines années. Certains pays, comme la France, disposent de leurs propres agences de sécurité. Elles veulent donc limiter l'Enisa à un rôle de coordination de ces organisations. Face à eux, d'autres États, en retard sur le sujet, comptent sur une équipe de pompiers européens, capables d'aider un membre en difficulté.
Pour Guillaume Poupard, directeur de l'Anssi, l'Enisa n'en serait pas capable. Pour des raisons de budget (11 millions d'euros annuels pour le moment) et de connaissance des infrastructures à protéger, une compétence qui nécessite du temps et conviendrait mieux à une agence nationale. D'autant que la directive NIS, transposée récemment en France, étend grandement la liste des entreprises à protéger, au-delà des opérateurs d'importance vitale.
Cette vision est suivie par la commission ITRE, qui espère renforcer les moyens financiers et humains de l'Enisa, mais pas remplacer les agences nationales qu'il faut développer. Une des raisons : « le nombre toujours réduit d'experts employés, comparé à la taille des équipes de certaines autorités nationales ».
Ce règlement signerait donc une croissance du budget et du personnel de l'Enisa. À Euractiv, Udo Helmbrecht déclare qu'une partie de ses employés rejoindraient une équipe de réponse à incident à Bruxelles, partagée avec les autres institutions communautaires. À terme, l'objectif est de disposer d'assez de personnes pour opérer jour et nuit.
Une remontée de failles possiblement mieux protégée
Cette version du règlement encourage les pays à créer des processus de remontée de failles pour les hackers. Un modèle unique européen ne semble pas à l'ordre du jour. Encore aujourd'hui, la crainte d'une plainte de la part de l'organisme ou entreprise faillible est vive chez les chercheurs. Sans promesse d'anonymat si la faille a été trouvée et remontée dans les règles, bien des problèmes restent inconnus.
En France, cette mesure avait été réclamée par des chercheurs en sécurité (via l'association Hackerzvoice), auxquels l'Anssi avait servi de porte-voix. Le résultat : l'article 47 de la loi Numérique portée par Axelle Lemaire en 2016, célébré comme une victoire commune de l'agence et de l'ex-secrétaire d'État au Numérique.
Il permet à des chercheurs de signaler anonymement des failles à l'Anssi, elle-même chargée de les partager avec l'organisation ou la société concernée. Dans ce cadre, l'agence n'a pas l'obligation de dévoiler l'identité de la personne derrière la découverte, si elle l'estime de bonne foi.
Le rapport de la commission ITRE, adopté à 56 voix contre 5, est censé être le mandat défendu par le Parlement européen face à la Commission et au Conseil européen, où siègent les États membres. Ce mandat devra être confirmé en séance plénière, en octobre. Dernière étape : un accord entre les trois institutions communautaires, avec la validation du Conseil européen. Selon Contexte, il est espéré pour la fin d'année.
Au Parlement européen, nouvelle étape pour enfin sécuriser les objets connectés
-
Une certification aux contours mouvants
-
Déception pour l'European Consumer Organisation
-
Une agence européenne pour les coordonner toutes
-
Une remontée de failles possiblement mieux protégée
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 13/07/2018 à 08h13
Par pitié ne succombé pas aux lobbys qui se contenteraient d’un simple logo auto-certifiant apposé sur leur produits.
“fournir une documentation obligatoire, détaillant la certification, la
disponibilité des mises à jour et l’interopérabilité du produit” cela permettrait de se retourner contre la société si leur documentation est bidon c’est déjà mieux qu’un simple logo sans engagement.
Le 13/07/2018 à 08h34
chouette encore une auto-certification sans contrôle et sans aucune sanction dissuasive…
Le véritable problème des IOT c’est le “cloud”, c’est une tendance actuelle de tout faire passer par des serveurs “sécurisés” pour stocker les données de l’utilisateur. SOMFY est l’exemple même, si tu perds la connexion, tu ne peux rien faire en local! même ouvrir le volet roulant et protocole propriétaire, HW proprio. Bref si y’a une faille et que des “pirates” prennent le contrôle de l’équipement, on pourra rien faire.
Le 13/07/2018 à 08h45
Si c’est comme les certificats que l’on fait chez nous (de l’autocontrole en fait …) ca ne vaudra pas un clou !!
Le 13/07/2018 à 10h52
Je ne sais pas pour google & amazon mais cortana permet de stocker les données en local et peux télécharger un subset de sa base de donnée pour répondre à des choses simples parce que la db complète fait pas loin de 15Po aux dernières nouvelles…
Le 13/07/2018 à 11h15
En même temps il n’est pas vraiment possible de mettre l’intelligence à l’intérieur des objets connectés ils ne sont pas assez puissant et ne dispose pas d’assez d’espace de stockage. Rien qu’un assistant vocal c’est au minimum plus tera-octet de données pour avoir le début d’un résultat potable.
Le 13/07/2018 à 11h42
Le 13/07/2018 à 12h39
Le 13/07/2018 à 13h19
maison incluse " />
Le 13/07/2018 à 13h55
Hop, une auto-certification et les failles disparaissent de peur.
Fallait y penser. merci l’Europe." />
Le 13/07/2018 à 14h16
C’est pas vraiment une excuse en ce qui concerne les volets roulants me semble-t’il.
Le 16/07/2018 à 09h20
Du vent, comme d’habitude. Les caméras piratées à distance n’ont pas servi de leçon : il ne peut y avoir de sécurité sans mises à jour régulières, et sans l’obligation d’ouverture du code source de tous les appareils qui utilisent le réseau.
Sinon l’UE n’a jamais légiféré sur un nombre minimal d’années, durant lesquelles les fabricants devraient suivre et mettre à jour leurs produits ; elle préfère encourager l’obsolescence programmée qui nourrit les GAFAM, et la mise en danger de la vie numérique d’autrui qui va avec…