Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Le Cyber Trust Mark est un label IoT volontaire qui sortira en 2024. Qu'est-ce que cela signifie ?
Kevin Purdy - 19 juillet 2023 à 18h56 UTC
L’objectif du nouveau Cyber Trust Mark américain, qui sera volontairement appliqué aux appareils Internet des objets (IoT) d’ici fin 2024, est d’éviter aux gens d’avoir à faire des recherches approfondies avant d’acheter un thermostat, un contrôleur d’arrosage ou un babyphone.
Si vous voyez un bouclier avec une micropuce d'une certaine couleur, vous saurez quelque chose en le comparant à d'autres boucliers. La signification exacte de ce bouclier n’est pas encore décidée. Le rapport connexe de l’Institut national des normes et technologies suggère que cela impliquera une transmission et un stockage cryptés, des mises à jour logicielles et le degré de contrôle qu’un acheteur exerce sur les mots de passe et la conservation des données. Mais la seule chose vraiment nouvelle depuis l'annonce de l'initiative en octobre 2022 est l'apparence du label, un calendrier légèrement plus ferme et davantage de réunions de contribution et de discussion à suivre.
À l'heure actuelle, la marque existe sous la forme d'un avis de proposition de réglementation (NPRM) auprès de la Federal Communications Commission. La FCC souhaite entendre les parties prenantes sur la portée des appareils pouvant être étiquetés et sur l'entité qui devrait superviser le programme, vérifier les normes et gérer l'éducation des consommateurs.
Les routeurs grand public, selon la Maison Blanche, sont la cible prioritaire, dont les travaux d'évaluation devraient être terminés d'ici fin 2023. Le ministère de l'Énergie entend développer un étiquetage pour les compteurs intelligents et les onduleurs.
Le mouvement vers la mise en œuvre d’une norme est lent et vague, mais le problème des appareils IoT est réel. Le communiqué de la FCC cite « une estimation tierce » (apparemment Kaspersky) de plus de 1,5 milliard d'attaques contre les appareils IoT au cours des six premiers mois de 2021. Et les appareils IoT sont partout : la FCC souligne l'estimation du groupe de recherche Transforma de plus de 25 milliards. appareils IoT connectés opérationnels dans le monde entier d’ici 2030.
Lorsque les appareils connectés sont si courants et omniprésents, il devient facile de les négliger. La présidente de la FCC, Jessica Rosenworcel, a cité un cas d'espèce raconté pour la première fois par l'auteur de la cybercriminalité, Misha Glenny, dans ses commentaires de mardi. Une banque, fortement renforcée en matière de compte, de transfert et d’autres cybersécurités, a finalement été pénétrée. Le vecteur n’était pas un serveur, un ordinateur ou même un humain faillible. Il s’agissait d’un distributeur automatique doté de sa propre adresse IP et non mis à jour contre les menaces courantes.
La mise en œuvre de la norme n'est "pas une mince tâche", a déclaré Rosenworcel lors de l'annonce du programme. "Parce que l'avenir des appareils intelligents est grand. Et encore plus grande est l'opportunité pour nous de garantir que chaque consommateur, entreprise et chaque banque disposant d'un distributeur automatique puisse faire des choix intelligents concernant les appareils connectés qu'ils utilisent. Alors allons-y. "
Ce que signifie un bouclier « Aqua » sur une caméra de sécurité domestique par rapport à un bouclier noir, vert, rouge ou blanc sur noir n'est pas encore clair. Chaque bouclier sera accompagné d'un code QR, où un client pourra voir les détails de la façon dont cet appareil a obtenu sa teinte de bouclier particulière.
De nombreux labels en sont venus à définir l’expérience de magasinage comparatif : UL, EnergyStar, JD Power, etc. Mais les appareils IoT présentent un scénario plus compliqué pour une étiquette de bouclier distinctement ombrée sur une boîte (ou une page de produit de commerce électronique). Quelques-unes de ces complications, dont certaines ont été soulevées par les promoteurs eux-mêmes, sont les suivantes :
Le CyLab de l'Université Carnegie Mellon, l'un des principaux groupes consultés par la FCC et la Maison Blanche, fait pression pour obtenir plus d'informations sur les boîtes de produits et les pages sur la collecte de données, plutôt que de tout transférer sur un scanner téléphonique. "Nos dernières recherches montrent que même si l'accès à ces informations via un code QR peut être utile, les consommateurs préfèrent que les informations importantes en matière de sécurité et de confidentialité soient facilement accessibles sur l'emballage du produit."
Amazon, Best Buy, LG, Samsung, Google et d'autres entreprises ont exprimé leur soutien à l'initiative, tout comme le groupe industriel Consumer Technology Association. Comme l'a noté Geoffrey Fowler du Washington Post, Apple est une absence flagrante. Cela soulève encore une autre question sur l’efficacité d’un label si un vendeur notable refuse d’y participer.