La fin des mots de passe génériques ?

Une ère nouvelle de sécurité pour les appareils connectés se profile au Royaume-Uni avec l’entrée en vigueur du Product Security and Telecommunications Infrastructure Act 2022 (PSTI). Cette loi impose des règles strictes aux fabricants et vendeurs d’appareils IoT, visant à protéger les consommateurs contre les mots de passe par défaut trop faibles et les risques de sécurité qui en découlent.

Désormais, attribuer des mots de passe tels que « admin » ou « 123456 » par défaut à un appareil pourrait coûter cher aux fabricants et vendeurs. Ces pratiques sont désormais passibles de considérables amendes ou même de rappels de produits. L’une des exigences clés de cette législation est que chaque appareil soit doté d’un mot de passe unique par défaut, interdisant l’utilisation de mots de passe simples ou facilement devinables, ainsi que l’attribution d’un même mot de passe à une série d’appareils. C’est ce que stipule et impose le nouveau loi britannique Product Security and Telecommunications Infrastructure Act 2022 (PSTI), qui a été promulguée lors de la Journée des Mots de Passe, le 2 mai.

Les sanctions en cas de non-conformité à cette nouvelle réglementation sont sévères, avec des amendes pouvant atteindre jusqu’à dix millions de livres ou quatre pour cent du chiffre d’affaires mondial des fabricants ou vendeurs, selon le montant le plus élevé.

Cette initiative britannique s’inscrit dans un contexte plus large de renforcement de la sécurité des appareils connectés en Europe. En effet, l’Union européenne travaille également sur des mesures similaires avec le Cyber Resilience Act, actuellement en phase de finalisation. Bien que les détails concernant les mots de passe ne soient pas aussi explicites dans cette législation européenne, elle vise également à garantir une sécurité adéquate pour les appareils dotés de composants numériques.

Il est donc envisageable que les fabricants réagissent à ces exigences réglementaires non seulement sur le marché britannique, mais également à l’échelle européenne, si les réglementations européennes suivent le même chemin que celles du Royaume-Uni. Cette convergence réglementaire pourrait entraîner des changements significatifs dans la façon dont les appareils connectés sont sécurisés et protégés contre les vulnérabilités liées aux mots de passe par défaut.

Une loi déjà en Californie, depuis 5 ans. Par extension, à l’ensemble des USA, quand les marques commercialisent leurs produits hors des frontières de cet État américain.

Ca tire dans tous les sens, même sur OnlyFan

Pendant ce temps, l’OFCOM, le régulateur britannique des communications, a lancé une enquête sur OnlyFans pour déterminer si la plateforme fait suffisamment pour empêcher les enfants d’accéder à du contenu pornographique. Conformément aux règles du Royaume-Uni, les plateformes de partage vidéo doivent prendre des mesures pour protéger les mineurs contre ce type de contenu. Bien qu’OnlyFans ait mis en place un système de vérification de l’âge, l’OFCOM doute de son efficacité [vous la voyez venir la pièce d’identité numérique unique ?].

Un porte-parole d’OnlyFans a déclaré que la plateforme travaille en étroite collaboration avec le régulateur pour renforcer la sécurité en ligne, y compris le contrôle de l’âge. Les utilisateurs doivent fournir leur nom et leurs données de carte de paiement, et un système de vérification d’âge gouvernemental, Yoti, est utilisé. Cependant, une erreur de codage chez Yoti a temporairement indiqué une limite d’âge supérieure à 18 ans, ce que OnlyFans a signalé à l’OFCOM dès qu’elle a été découverte.

À noter qu’à partir du 13 juillet 2024, en France, une autre obligation légale impactera définitivement les matériels connectés : l’obligation d’un contrôle parental sur tous les objets permettant l’accès à Internet.

Recevez les infos de la semaine ZATAZ, chaque samedi, via la news letter des cyber’actus.