Cela peut sembler anodin, mais les mots de passe par défaut des objets connectés, dont le nombre augmente considérablement d’année en année, constituent un danger majeur pour les réseaux. Ces configurations par défaut facilitent la prise de contrôle par les hackers qui peuvent alors se constituer de véritables armées d’objets zombie.
Pour essayer d’endiguer ce phénomène, la Californie a voté un texte qui contraint les fabricants d’équipements connectés à créer un mot de passe qui soit unique pour chaque appareil vendu.
Bill SB-327
C’est la loi SB-327 Information privacy: connected devices qui crée cette obligation pour les fabricants distribuant leurs produits sur le sol californien à partir du 1er janvier 2020. Dans le détails, celle-ci rend obligatoire pour chaque constructeur de proposer un mot de passe préprogrammé unique par appareil ou bien mettre en place un dispositif qui force l’utilisateur à créer un nouveau mot de passe dès la première activation du produit.
Si cette loi ne garantit pas la sécurité des appareils ni que les utilisateurs choisiront de bons mots de passe, elle a le mérite d’éviter qu’il soit trop simple pour les pirates informatiques de prendre le contrôle simultané de milliers d’appareils d’un seul coup.
Les armées d’objets zombies
On pense notamment à des appareils comme les caméras de surveillance IP dont un grand nombre de modèle sont utilisés pour mener régulièrement des attaques de type DDoS lors desquels elles saturent l’accès à certains serveurs en tentant de s’y connecter simultanément.
La Californie étant une grande puissance économique, même prise indépendamment des États-Unis, On peut espérer que même si cette loi ne concerne que la Californie, ses effets se ressentent à l’échelle mondiale. En effet, un fabriquant qui fait l’effort de changer ces processus pour se conformer à cette loi à de grande chance d’appliquer ces nouveaux processus quelque soit l’endroit ou sera vendu ses produits.