Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    214
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 214
    Points : 7 748
    Points
    7 748

    Par défaut La Californie va interdire les mots de passe par défaut sur tout appareil connecté à Internet

    La Californie va interdire les mots de passe par défaut sur tout appareil connecté à Internet
    Afin d’améliorer la sécurité sur les réseaux sans fil

    Les années 2016 et 2017 ont été marquées par une vague mondiale d’attaques au ransomware qui a fait des dégâts impressionnants sur les systèmes connectés. Le malware Mirai, qui pouvait créer des botnets d'objets connectés, utilisait des gateway Sierra Wireless. Ses attaques ont été dirigées contre KrebsOnSecurity, provoquant l’indisponibilité du site, mais aussi contre l’hébergeur français OVH, qui a fait face à l’attaque DDoS la plus violente de l’histoire. Ensuite, le ransomware WannaCry qui, entre autres actions, avait pris en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale. Le malware Petya/NotPetya avait également été à l’origine des dégâts effrayants.

    Pour rappel, ces logiciels malveillants se déployaient sur des dispositifs vulnérables en recherchant sur Internet des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables identifiés sont alors attaqués par ces logiciels malveillants qui les transforment en botnets pour mener des attaques par déni de service.

    C’est dans une tentative de faire face aux problèmes de sécurité occasionnés, en partie, par des mots de passe par défaut attribués par les fabricants aux appareils qui se connectent à des réseaux sans fil que l’Etat de la Californie à initié, depuis l’an dernier, un projet de loi dénommé « Confidentialité des informations : appareils connectés ». Le terme appareil/périphérique connecté « désigne tout périphérique ou autre objet physique capable de se connecter à Internet, directement ou indirectement, auquel une adresse de protocole Internet ou une adresse Bluetooth est affectée. », selon le projet de loi.

    Nom : dims01.jpg
Affichages : 1772
Taille : 61,1 Ko

    Le projet a été signé, le 28 septembre dernier, par le gouverneur de la Californie, Jerry Brown. Par conséquent, dans moins de deux ans, c’est-à-dire le 1er janvier 2020, tout ce qui peut se connecter à Internet sera doté d'un mot de passe unique, s'il est produit ou vendu en Californie. Il n’a fallu qu’environ deux semaines aux autorités californiennes pour approuver cette proposition du Sénat, qui empêche que tout appareil vendu ou fabriqué en Californie soit muni d’un mot de passe par défaut préinstallé et codé en dur, dès début 2020.

    Les fabricants des périphériques connectés en Californie seront obligés, en vertu de la nouvelle loi, soit de créer un mot de passe unique pour chaque périphérique au moment de la production, soit de prévoir un moyen qui fait obligation à l’utilisateur d’en créer un lorsqu’il interagit avec l’appareil pour la première fois. « Ce projet de loi, à compter du 1er janvier 2020, obligerait le fabricant d’un périphérique connecté, au sens de la définition de ces termes, à doter le périphérique d’une fonctionnalité de sécurité raisonnable, adaptée à la nature et au fonctionnement du périphérique, ».

    La Californie, par cette disposition, veut empêcher que les logiciels malveillants continuent de prendre le contrôle des routeurs, des commutateurs intelligents ainsi que des caméras de sécurité et autres équipements IoT en profitant de la faiblesse des mots de passe par défaut divulgués publiquement et facile à deviner.

    Cependant, ce projet de loi divise les chercheurs américains en sécurité. Si certains, pensent que le projet constitue une bonne base qu’il faut encourager bien qu’il ne couvre pas tout les champs d’attaque des logiciels malveillants, d’autres le jugent de « mauvaise loi IoT de la Californie ».

    En effet, parmi ceux qui s’opposent à la loi, il y a le chercheur Robert Graham qui pense que le projet de loi est basé sur « une compréhension superficielle de la cybersécurité/piratage, qui n'améliorera guère la sécurité, tout en faisant beaucoup pour imposer des coûts et nuire à l'innovation. », selon son billet de blog. Pour l’expert, il ne s’agit pas d'ajouter des « fonctionnalités de sécurité », mais de supprimer les « fonctionnalités non sécurisées », c'est-à-dire, la suppression des ports d’écoute non utilisés ainsi que les problèmes d’injection inter-site dans la gestion Web. Selon M. Graham, plus de fonctionnalités d’authentification et de sécurité augmenteront la surface d'attaque.

    Selon le billet de blog, certains périphériques sont vulnérables aux malwares à cause de la négligence des utilisateurs qui n’installent pas les mises à jour disponibles ou à cause de l’indisponibilité des mises à jour. Aussi, certains des appareils ne ressemblent pas aux téléphones intelligents ou ordinateurs portables qui informent les utilisateurs de l'application de correctifs. Selon l’expert, pour résoudre le problème des mises à jour des périphériques connectés, certains penseraient à une solution de mises à jour automatisées. Cependant, ce type de mises à jour pourrait être utilisé par les pirates informatiques pour procéder à une infection de masse en prenant le contrôle des systèmes des fournisseurs, à déclaré Robert Graham.

    Source : Texte du projet de loi, Blog de Graham

    Et vous ?

    Que pensez-vous du projet de loi de l’Etat de la Californie ?
    Un expert en sécurité pense que cette loi est mauvaise. Qu’en pensez-vous ?

    Voir aussi

    Le malware Mirai, qui peut créer des botnets d'objets connectés, utilise des gateway Sierra Wireless, qui exhorte à changer les MdP par défaut
    Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale, des rançons de 300 $ minimum sont exigées
    Petya/NotPetya : le CERT-FR prévient que le ransomware dispose de multiples capacités de propagation, et donne des recommandations pour l'éviter
    WannaCry : infection de 55 caméras de trafic routier en Australie, pendant des opérations de maintenance
    Chiffrement : le gouvernement australien plaide pour l'installation de portes dérobées, et espère convaincre l'alliance Five Eyes de le suivre
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Candidat au Club
    Homme Profil pro
    Étudiant
    Inscrit en
    septembre 2018
    Messages
    23
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Burundi

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : septembre 2018
    Messages : 23
    Points : 2
    Points
    2

    Par défaut

    C'est un grand pas vers la sécurité future.
    ils ont quand même quelque chose à ajouter pour la bonne marche des leur machines

  3. #3
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    novembre 2002
    Messages
    7 075
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2002
    Messages : 7 075
    Points : 22 890
    Points
    22 890

    Par défaut

    ce que je trouve étrange c'est qu'il faille une loi pour cela...n'est-ce pas aux industriels de proposer des solutions sécurisées et d'en faire la promotion sur cet argument ? ils sont supposés mieux connaitre la problématique que le législateur.
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Produits : UPnP, RemoteOffice, FlashPascal

  4. #4
    Expert éminent sénior
    Avatar de Jipété
    Profil pro
    Inscrit en
    juillet 2006
    Messages
    7 339
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : juillet 2006
    Messages : 7 339
    Points : 10 515
    Points
    10 515

    Par défaut

    Citation Envoyé par Paul TOTH Voir le message
    ils sont supposés mieux connaitre la problématique que le législateur.
    Vi, mais ils en ont beaucoup rien à cirer !
    Étudier une interface pour obliger l'utilisateur à configurer son machin avant de pouvoir l'utiliser, c'est consommateur de temps, donc d'argent, et c'est également anti-commercial, donc on évacue cette problématique s'il n'y a personne pour leur imposer de travailler dessus.

    C'est aussi bête que ça...
    Il a à vivre sa vie comme ça et il est mûr sur ce mur se creusant la tête : peutêtre qu'il peut être sûr, etc.
    Oui, je milite pour l'orthographe et le respect du trait d'union à l'impératif.
    Après avoir posté, relisez-vous ! Et en cas d'erreur ou d'oubli, il existe un bouton « Modifier », à utiliser sans modération
    On a des lois pour protéger les remboursements aux faiseurs d’argent. On n’en a pas pour empêcher un être humain de mourir de misère.
    Mes 2 cts,
    --
    jp

  5. #5
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    novembre 2002
    Messages
    7 075
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2002
    Messages : 7 075
    Points : 22 890
    Points
    22 890

    Par défaut

    Citation Envoyé par Jipété Voir le message
    Vi, mais ils en ont beaucoup rien à cirer !
    Étudier une interface pour obliger l'utilisateur à configurer son machin avant de pouvoir l'utiliser, c'est consommateur de temps, donc d'argent, et c'est également anti-commercial, donc on évacue cette problématique s'il n'y a personne pour leur imposer de travailler dessus.

    C'est aussi bête que ça...
    c'est bien pour cela qu'il faut en faire un argument commercial.
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Produits : UPnP, RemoteOffice, FlashPascal

  6. #6
    Membre éprouvé Avatar de Alvaten
    Homme Profil pro
    Développeur Java / Grails
    Inscrit en
    novembre 2006
    Messages
    320
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Java / Grails
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2006
    Messages : 320
    Points : 973
    Points
    973

    Par défaut

    ce que je trouve étrange c'est qu'il faille une loi pour cela...n'est-ce pas aux industriels de proposer des solutions sécurisées et d'en faire la promotion sur cet argument ? ils sont supposés mieux connaitre la problématique que le législateur.
    Je ne suis pas vraiment d'accord. Perso je trouve ca normal que le minimum attendu soit inscrit dans la loi pour que tous les produits sur le marché soient un minimum sécurisés, sinon tu aura toujours des industriels qui proposeront des solutions non sécurisés, si la non implémentation de la sécurité leur épargne de l'argent.

    Et c'est valable dans tout les domaines, par exemple, si la ceinture de sécurité en voiture n'était pas obligatoire, je suis certain que les fabricants low cost la mettraient en option pour baisser les coûts de production. Et les fabricants qui l’incluraient de base l'utiliseraient comme argument commercial.

    Comme l'a si bien dit Jipété, "ils en ont beaucoup rien à cirer ! ", si ton objectif c'est "le pognon avant tout", même avec une connaissance des problèmes si personne t'oblige à les résoudre et bien tu laisses les problèmes en place. A chaque fois qu'un scandal industriel éclate, on entend des "ils étaient au courant mais n'ont rien fait", et après on pond une loi pour que ca n'arrive plus.

  7. #7
    Membre chevronné Avatar de ddoumeche
    Homme Profil pro
    Ingénieur recherche et développement
    Inscrit en
    octobre 2007
    Messages
    890
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Singapour

    Informations professionnelles :
    Activité : Ingénieur recherche et développement

    Informations forums :
    Inscription : octobre 2007
    Messages : 890
    Points : 1 993
    Points
    1 993

    Par défaut

    Citation Envoyé par Paul TOTH Voir le message
    ce que je trouve étrange c'est qu'il faille une loi pour cela...n'est-ce pas aux industriels de proposer des solutions sécurisées et d'en faire la promotion sur cet argument ? ils sont supposés mieux connaitre la problématique que le législateur.
    Est-ce aux industriels de choisir si oui ou non ils veulent mettre des ceintures de sécurité ou des airbags dans les véhicules commercialisés en France ?

  8. #8
    Membre actif
    Inscrit en
    décembre 2005
    Messages
    249
    Détails du profil
    Informations forums :
    Inscription : décembre 2005
    Messages : 249
    Points : 259
    Points
    259

    Par défaut

    Citation Envoyé par Paul TOTH Voir le message
    c'est bien pour cela qu'il faut en faire un argument commercial.
    Cela aura peut de poids je pense la plupart des consommateurs s'enfoutent

  9. #9
    Expert éminent sénior
    Avatar de Paul TOTH
    Homme Profil pro
    Freelance
    Inscrit en
    novembre 2002
    Messages
    7 075
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2002
    Messages : 7 075
    Points : 22 890
    Points
    22 890

    Par défaut

    Citation Envoyé par ddoumeche Voir le message
    Est-ce aux industriels de choisir si oui ou non ils veulent mettre des ceintures de sécurité ou des airbags dans les véhicules commercialisés en France ?
    ce qui n'oblige en rien l'automobiliste à boucler sa ceinture...si tu veux comparer, il faudrait qu'une loi impose que l'on ne puisse pas mettre le contact sans avoir bouclé sa ceinture...mais là j'aurais du mal à en faire un argument publicitaire.
    Developpez.com: Mes articles, forum FlashPascal
    Entreprise: Execute SARL
    Produits : UPnP, RemoteOffice, FlashPascal

Discussions similaires

  1. [Oracle 10g R2] mot de passe par défaut?
    Par eryk71 dans le forum Installation
    Réponses: 10
    Dernier message: 18/07/2011, 16h20
  2. Mysql:Mettre un mot de passe par défaut lors de l'installation
    Par ptitcanari dans le forum Administration système
    Réponses: 3
    Dernier message: 18/04/2009, 00h32
  3. Réponses: 2
    Dernier message: 10/04/2009, 19h26
  4. Mot de passe par défaut
    Par popovitch130 dans le forum phpMyAdmin
    Réponses: 6
    Dernier message: 25/02/2008, 01h45

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo