Il imposera de nouvelles normes de cybersécurité aux fabricants, importateurs et distributeurs d’appareils connectés, dont l’interdiction des mots de passe par défaut.
Selon un rapport de 2020 réalisé par la société de cybersécurité Symantec, 53,4% des mots de passe utilisés dans les attaques concernant les objets connectés étaient « 12345 ». Le Royaume-Uni entend empêcher les hackers de cibler ces appareils faiblement protégés. Un projet de loi sur la sécurité des produits et l’infrastructure des télécommunications (PSTI) a été présenté au Parlement britannique le 24 novembre. Il prévoit d’interdire les mots de passe par défaut faciles à deviner comme « mot de passe » ou « admin ». Plus précisément, il exigerait des mots de passe uniques pour les objets connectés à Internet et empêcherait que ceux-ci soient réinitialisés aux paramètres d’usine universels.
Il obligerait également les entreprises à accroître la transparence envers les clients concernant les moyens mis en place pour corriger les failles de sécurité (mises à jour, correctifs). Une pratique appliquée par seulement 20% d’entre elles selon le communiqué du gouvernement britannique.
Proposer un produit réellement sécurisé aux clients
Les fabricants sont aussi concernés par ce projet de loi. De nouvelles règles sont prévues pour les obliger à offrir un « point de contact public » afin de permettre aux experts en sécurité de signaler plus facilement la découverte de failles et de bugs dans les produits. Ces propositions de sécurité s’appliqueraient aux produits pouvant se connecter à Internet comme les smartphones, les caméras de sécurité, les babyphones ou encore les appareils électroménagers intelligents. En revanche, les ordinateurs de bureau et portables ne seraient pas concernés, le gouvernement britannique estimant qu’ils ne sont pas soumis aux mêmes menaces et risques grâce à des fonctionnalités de sécurité incluses dans les systèmes d’exploitation.
Les propositions de sécurité devraient être supervisées par un régulateur, désigné une fois le projet de loi entré en vigueur. Les entreprises refusant de s’y conformer s’exposeraient ainsi à des amendes pouvant atteindre 10 millions de livres de sterling ou 4% de leur chiffre d’affaires mondial. Le régulateur aurait également la possibilité d’émettre des avertissements aux sociétés exigeant qu’elles se plient aux exigences de sécurité, rappellent leurs produits ou cessent complètement de les vendre.
