Le Cyber ​​Trust Mark est un label IoT volontaire qui arrivera en 2024. Qu’est-ce que cela signifie ?


L’objectif de la nouvelle marque de confiance américaine Cyber ​​Trust Mark, qui arrivera volontairement sur les appareils Internet des objets (IoT) d’ici la fin de 2024, est d’empêcher les gens d’avoir à faire des recherches approfondies avant d’acheter un thermostat, un contrôleur d’arrosage ou un babyphone.

Si vous voyez un bouclier avec une puce électronique d’une certaine couleur, vous saurez quelque chose en le comparant à d’autres boucliers. Ce que signifiera exactement ce bouclier n’est pas encore décidé. Le rapport connexe de l’Institut national des normes et de la technologie suggère que cela impliquera une transmission et un stockage cryptés, des mises à jour logicielles et le degré de contrôle d’un acheteur sur les mots de passe et la conservation des données. Mais la seule chose vraiment nouvelle depuis l’annonce de l’initiative en octobre 2022 est l’apparence de l’étiquette, un calendrier un peu plus ferme et plus de réunions de contribution et de discussion à suivre.

À l’heure actuelle, la marque existe en tant qu’avis de proposition de réglementation (NPRM) à la Federal Communications Commission. La FCC souhaite connaître les parties prenantes sur l’étendue des appareils pouvant être étiquetés et sur l’entité qui devrait superviser le programme, vérifier les normes et gérer l’éducation des consommateurs.

Les routeurs de qualité grand public, selon la Maison Blanche, sont la cible prioritaire, les travaux d’évaluation devant être terminés d’ici la fin de 2023. Le ministère de l’Énergie a l’intention de développer l’étiquetage des compteurs intelligents et des onduleurs.

Vecteurs de distributeurs automatiques

Le mouvement pour mettre en œuvre une norme est lent et vague, mais le problème pour les appareils IoT est réel. Le communiqué de la FCC cite « une estimation d’un tiers » (apparemment Kaspersky) de plus de 1,5 milliard d’attaques contre les appareils IoT au cours des six premiers mois de 2021. Et les appareils IoT sont partout : la FCC pointe vers l’estimation du groupe de recherche Transforma de plus de 25 milliards appareils IoT connectés opérant dans le monde d’ici 2030.

Lorsque les appareils connectés sont si courants et omniprésents, ils deviennent faciles à négliger. La présidente de la FCC, Jessica Rosenworcel, a cité un cas d’espèce raconté pour la première fois par l’auteur de la cybercriminalité Misha Glenny dans ses commentaires mardi. Une banque, fortement renforcée dans son compte, son transfert et d’autres cybersécurités, a finalement été pénétrée. Le vecteur n’était pas un serveur, un ordinateur ou même un humain faillible. Il s’agissait d’un distributeur automatique, qui avait reçu sa propre adresse IP et n’avait pas été mis à jour contre les menaces courantes.

La mise en œuvre de la norme n’est « pas une mince tâche », a déclaré Rosenworcel lors de l’annonce du programme. « Parce que l’avenir des appareils intelligents est grand. Et encore plus grande est l’opportunité pour nous de garantir que chaque consommateur, entreprise et chaque banque disposant d’un distributeur automatique puisse faire des choix intelligents concernant les appareils connectés qu’ils utilisent. Alors allons-y. « 

Qu’est-ce qui est considéré comme « sécurisé » ?

Ce que signifie un bouclier « Aqua » sur une caméra de sécurité domestique par rapport à un bouclier noir, vert, rouge ou blanc sur noir n’est pas encore clair. Chaque bouclier sera accompagné d’un code QR, où un client peut voir les détails de la façon dont cet appareil a obtenu sa teinte de bouclier particulière.

De nombreuses étiquettes sont venues définir l’expérience d’achat par comparaison : UL, EnergyStar, JD Power, etc. Mais les appareils IoT présentent un scénario plus compliqué pour une étiquette de bouclier ombrée distinctement sur une boîte (ou une page de produit de commerce électronique). Voici quelques-unes de ces complications, dont certaines ont été soulevées par les promoteurs eux-mêmes :

  • Les appareils qui contiennent plusieurs appareils IoT interconnectés à l’intérieur d’eux-mêmes, comme les routeurs
  • Comment évaluer les autres parties d’un appareil IoT : son serveur cloud, les applications pour smartphone, les logiciels open source utilisés pour le construire
  • Produits qui sont mis à jour avec des fonctionnalités entièrement nouvelles et des changements de sécurité, que la « boîte » peut ne plus refléter
  • Nouvelles vulnérabilités exposant les appareils autrefois considérés comme sûrs à une exposition grave
  • Des normes différentes pour ce qui est considéré comme sécurisé pour les appareils avec caméras ou capteurs par rapport à un réfrigérateur avec un écran intelligent ou un capteur climatique.
  • Comment la confidentialité des données compte ou non pour la « sécurité »
  • Si l’engagement déclaré d’une entreprise envers les mises à jour joue un rôle dans une note

Le CyLab de l’Université Carnegie Mellon, l’un des principaux groupes consultés par la FCC et la Maison Blanche, demande plus d’informations sur les boîtes de produits et les pages sur la collecte de données, plutôt que de tout décharger sur un scanner de téléphone. « Nos dernières recherches montrent que même si l’accès à ces informations via un code QR peut être utile, les consommateurs préfèrent avoir des informations importantes sur la sécurité et la confidentialité facilement disponibles sur l’emballage du produit. »

Amazon, Best Buy, LG, Samsung, Google et d’autres entreprises ont exprimé leur soutien à l’initiative, tout comme le groupe industriel Consumer Technology Association. Comme l’a noté Geoffrey Fowler du Washington Post, Apple est une absence flagrante. Cela soulève encore une autre question sur l’efficacité d’un label si un vendeur notable refuse de participer.

Image de la liste par la Commission fédérale des communications

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*