Ars Technica explique qu’une « nouvelle version de la loi de 2022 sur la sécurité des produits et l’infrastructure des télécommunications (PTSI) est maintenant en vigueur ». Désormais, tous les produits connectés doivent disposer d’un « mot de passe aléatoire ou générer un mot de passe lors de l’initialisation (via une application pour smartphone ou d’autres moyens) ».
Les Britanniques ont pris soin de préciser que le mot de passe ne peut pas être incrémentiel de type password1, password2… et ne doit pas être « lié de manière évidente à des informations publiques ». On pense notamment à l’adresse MAC ou un SSID de réseau Wi-Fi.
Un mécanisme « simple » doit permettre de changer le mot de passe. On se souvient, par exemple, que certaines caméras chinoises avaient un mot de passe écrit en dur, directement dans le code… Dans la même idée, les composants logiciels doivent pouvoir être mis à jour.
Des sanctions sont prévues en cas de non-respect : « jusqu’à 10 millions de livres [environ 11,7 millions d’euros, ndlr] ou 4 % du chiffre d’affaires mondial connexe, selon le montant le plus élevé », expliquent nos confrères.
La loi Cyber résilience en Europe… pour 2027 ?
En Europe, la sécurité des produits numériques est aussi en train d’être revue avec la loi Cyber résilience. Elle prévoit notamment que les produits tels que des logiciels de gestion d'identité, les gestionnaires de mots de passe, les lecteurs biométriques, les assistants domestiques intelligents et les caméras de sécurité privées « soient couverts par les nouvelles règles. Les produits devraient également recevoir des mises à jour de sécurité installées automatiquement et séparément des mises à jour de fonctionnalités ».
Le Conseil doit encore voter la directive, puis l’Union européenne doit la publier à son journal officiel. Il entrera en vigueur 20 jours plus tard et « les nouvelles règles s’appliqueront trois ans après l’entrée en vigueur du règlement », précise Mathias Avocat. Tout cela nous emmène vers la seconde moitié de 2027.
Commentaires (17)
#1
Toute injection prévue de code à l'insu des propriétaires implique un cheval de Troie, peu importe que la cause soit juste ou non.
Je préférerais une solution facile d'accès mais qui nécessite une action volontaire du propriétaire. Ce serait utile par exemple pour des caméras IP en réseau fermé.
Le fait d'impliquer les propriétaires va dans le sens de la sécurité et de la responsabilisation à la fois des propriétaires et des fabricants qui devraient à chaque fois expliquer pourquoi le produit doit être mis à jour.
Cela peut paraître fastidieux à certains qui se sont accoutumé de voir des mises à jour quitidiennes. Perso, je vous juste cela comme un aveu permanent d'avoir salopé le travail et de pousser des correctifs à la va vite au lieu de bien faire dès le départ
#1.1
(au passage, j'en profite pour glisser que la doc Apple pour les iPhone est vraiment excellente)
Et autre problème, tous les objets n'ont pas forcément d'interraction avec les humain. Le distributeur de croquette, le détecteur de fumée, ... une fois setup, on l'oubli.
#1.2
Et aussi pour les gentils, on ajoute des fonctions.
Bien sûr on corrige aussi des bugs.
Ceci dit en ce qui me concerne, pas de mise à jour automatique, t'as une pop-up quand tu te connectes auu produit qui te suggère de l'installer. Sans détails anxiogènes ceci dit, puisque sans aucun détails.
#2
Du coup, on arrive à des aberrations où le bidule en question inclu aussi du bluetooth, utilisé uniquement pour l'initialisation via une app. (J'ai eu le cas récemment, mais impossible de me souvenir quoi...)
#2.1
Un petit mot de passe aléatoire passé en paramètre, et paf.
#2.2
Bon, sinon, on l'affiche comment le QQRCode sur un truc sans affichage? Certes, un cam IP on pourrait la faire dans l'autre sens et le lui faire lire (avec flux video sortants bloqués tant que pas fait, oeuf course!) mais je vois pas comment généraliser à tout sans surcoût notable.
Bon, sinon, tout SoC a de l'USB présent même si pas forcément utilisé: Selon le type de produit, imposer une connexion physique/locale hors réseau serait possible à peu près qqsoit la sophistication du truc avec du bon vieux serial-USB ou l'automontage d'un bout de stockage de config en FAT32, présentés tant que pas d'init accès réalisée. Et pour à peine plus que le cout du connecteur quand il n'y en a pas déjà un, tout en étant du standard pour quand l'applicatif du fabricant sera tombé en ruine faute de maintenance.
#2.3
#2.4
Pour répondre à yl (qui s'exprime bien vulgairement ma foi), si on parle de configuration Bluetooth d'un équipement connecté, c'est qu'on le fait avec un smartphone, qui a souvent lui-même un écran.
Bon, sauf ces nouveaux machins lapins et tout, mais on s'éloigne du sujet.
Edit : on me souffle sur Google Images que même les lapins ont des écrans. My bad.
Historique des modifications :
Posté le 03/05/2024 à 11h34
Sur un QR code et avec une app idoine, tu devrais pouvoir faire passer et le mode AP et la première configuration, non ?
Pour répondre à yl (qui s'exprime bien vulgairement ma foi), si on parle de configuration Bluetooth d'un équipement connecté, c'est qu'on le fait avec un smartphone, qui a souvent lui-même un écran.
Bon, sauf ces nouveaux machins lapins et tout, mais on s'éloigne du sujet.
#2.5
#2.6
Et c'est assez logique dans un contexte grand public, ne serait-ce que pour des raisons de facilité de déploiement.
#2.10
PS : je fais des produits sans fil... Ça a sûrement un rapport avec le fait que je n'ai que du filaire moi-même ;)
#2.7
Sur la France entre le 1e janvier 2024 et le 14 avril 2024: 577 records de chaleur battus contre 1 seul de froid.
C'est bon, vous la voyez la cohérence ou l'éléphant au milieu du couloir n'est pas encore assez manifeste à votre goût?
#2.9
Sinon tous les SoC sont loin d'avoir de l'USB. Mais ils ont tous en général un support de l'UART. Donc en général tu peux tous leur coller un UART => USB CDC.
J'ai un nouveau produit offline. Il est question de lui ajouter du Wi-Fi. J'ai dit que dans ce cas, la config du wifi se fera par USB (CDC). Ce SoC là a de l'USB. Et tu taperas le mot de passe de ton réseau wifi par l'USB.
#2.8
Ceci dit ça ne me convient pas complètement. Un adversaire déterminé, bien informé et bien préparé peut faire quelque chose.
Un jour, il utilisera du chiffrement asymétrique et la QR Code servira au mieux pour détecter le MitM.
On m'a dit une fois que quand ça arrivera en haut de la pile des trucs à faire, dans le cas où les produits existants ne seraient pas compatibles, on sortira une nouvelle ligne "pro".
#3
Edit : ça fait 11,7 millions d'euros
Historique des modifications :
Posté le 03/05/2024 à 08h15
C'est fort aimable d'avoir converti les livres sterling en... dollars
#4
Il faudrait remplacer le "ou" par un "et" avec la précision d'imposer d'autres moyens parfaitement standards qqsoit OS/Matos.
Niveau MAJ, séparer sécurité/fonctionnalités (avec parfois de sales surprises pour ces dernières) pour imposer les premières a du sens mais je préférerais également qu'on puisse choisir de les appliquer manuellement (même si cela pourrait ne pas être la conf par défaut).
#5
Quelle idée à la con de ramener un équipement tiers (qui plus est un téléphone dit "intelligent" !) dans la boucle !
Le seul moyen qui vaille serait de forcer la création d'identifiants à l'initialisation, empêchant un fonctionnement autre que celui de configuration jusqu'à que cela soit fait. À moduler en fonction de l'équipement, afin de permettre un accès local, physique, à ce mode.
Cela remet les choses en bon ordre : la charge incombe à l'administrateur de générer ses accès, pas à l'équipementier.
Certains équipements le font déjà, pourtant !
Forcément, laisser le législateur d'occuper du sujet, c'était remettre un sujet éminemment technique dans les mains de non-techniques. What could possibily go wrong? demandait rhétoriquement un animateur d'une ancienne émission phare de la BBC.
On remercie tous les fournisseurs d'équipement qui ont fait de la merde à pas cher sur le sujet parce qu'ils adorent être libres de faire n'importe quoi, pourvu que ça leur coûte le moins cher.
On a l'économie qu'on mérite.
Historique des modifications :
Posté le 05/05/2024 à 14h17
Quelle idée à la con de ramener un équipement tiers (qui plus est un téléphone dit "intelligent" !) dans la boucle !
Le seul moyen qui vaille serait de forcer la création d'identifiants à l'initialisation, empêchant un fonctionnement autre que celui de configuration jusqu'à que cela soit fait. À moduler en fonction de l'équipement, afin de permettre un accès local, physique, à ce mode.
Cela remet les choses en bon ordre : la charge incombe à l'administrateur de générer ses accès, pas à l'équipementier.
Certains équipements le font déjà, pourtant !
Forcément, laisser le législateur d'occuper du sujet, c'était remettre un sujet éminemment technique dans les mains de non-techniques. _What could possibily go wrong?_ demandait rhétoriquement un animateur d'une ancienne émission phare de la BBC.
On remercie tous les fournisseurs d'équipement qui ont fait de la merde à pas cher sur le sujet parce qu'ils adorent être libres de faire n'importe quoi, pourvu que ça leur coûte le moins cher.
On a l'économie qu'on mérite.