La cybersécurité des maisons intelligentes pourrait devenir obligatoire en Europe, avec un support continu

La cybersécurité des maisons intelligentes pourrait devenir obligatoire en Europe, avec un soutien continu

La cybersécurité des maisons intelligentes est une préoccupation croissante, car de plus en plus d’appareils Internet des objets arrivent sur le marché. Désormais, l’Union européenne veut donner aux fabricants d’appareils l’obligation légale de s’assurer que leurs produits sont à l’abri des pirates et de les mettre à jour si nécessaire pour qu’ils restent ainsi…

Arrière plan

Apple a développé la norme HomeKit avec deux objectifs en tête. Tout d’abord, rendre les appareils domestiques intelligents faciles à contrôler, avec tout fait via une seule application. Deuxièmement, pour vous assurer que votre maison intelligente est sécurisée contre les cyber-attaquants.

Avec HomeKit, des clés cryptées sont utilisées pour identifier les appareils, et lorsque (par exemple) votre iPhone envoie une commande de déverrouillage à votre serrure de porte intelligente, l’iPhone vérifiera l’identité de la serrure, et la serrure vérifiera l’identité de votre iPhone.

Pour établir une relation entre un appareil iOS, iPadOS et macOS et un accessoire HomeKit, les clés sont échangées à l’aide du protocole Secure Remote Password (3072 bits) à l’aide d’un code à huit chiffres fourni par le fabricant de l’accessoire, saisi sur l’appareil iOS ou iPadOS par l’utilisateur, puis crypté à l’aide de ChaCha20-Poly1305 AEAD avec des clés dérivées HKDF-SHA512. La certification MFi de l’accessoire est également vérifiée lors de la configuration. Les accessoires sans puce MFi peuvent intégrer la prise en charge de l’authentification logicielle dans iOS 11.3 ou version ultérieure.

Lorsque l’appareil iOS, iPadOS et macOS et l’accessoire HomeKit communiquent pendant l’utilisation, chacun s’authentifie à l’aide des clés échangées dans le processus ci-dessus.

Cependant, même HomeKit peut être vulnérable, comme nous l’a démontré en 2017, lorsqu’un chercheur en sécurité a pu prendre le contrôle à distance de serrures intelligentes et d’autres appareils. (Apple a corrigé le bug suite à notre signalement.)

Projet de loi sur la cybersécurité des maisons intelligentes

L’Union européenne a proposé une loi visant à garantir que tous les appareils domestiques intelligents respectent les exigences en matière de cybersécurité, comme Tech Crunch Remarques.

La proposition de loi européenne sur la cyber-résilience introduira des exigences obligatoires en matière de cybersécurité pour les produits contenant des « éléments numériques » vendus dans l’ensemble du bloc […]

Le projet de règlement met également l’accent sur les fabricants d’appareils intelligents communiquant aux consommateurs « des informations suffisantes et précises » – pour s’assurer que les acheteurs sont capables de saisir les considérations de sécurité au point d’achat et de configurer les appareils en toute sécurité après l’achat.

Les sanctions proposées par la Commission pour non-conformité aux exigences de cybersécurité « essentielles » peuvent atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial, les autres infractions aux obligations réglementaires étant passibles d’une sanction maximale de 10 millions d’euros ou 2 % du chiffre d’affaires.

Non seulement les fabricants devraient s’assurer que leurs appareils sont sûrs lors de leur lancement, mais ils seraient également tenus de fournir les mises à jour de sécurité requises pour le cycle de vie complet du produit.

L’UE est préoccupée par des menaces plus larges, en plus de la sécurité des résidences.

Avec la croissance des produits intelligents et connectés, un incident de cybersécurité dans un produit peut avoir un impact sur l’ensemble de la chaîne d’approvisionnement, entraînant éventuellement de graves perturbations des activités économiques et sociales dans l’ensemble du marché intérieur, compromettant la sécurité ou même mettant la vie en danger.

L’organisation estime que sa loi pourrait être reproduite dans le monde entier.

Alors que d’autres juridictions dans le monde cherchent à résoudre ces problèmes, la loi sur la cyber-résilience est susceptible de devenir une référence internationale, au-delà du marché intérieur de l’UE. Les normes de l’UE fondées sur la loi sur la cyber-résilience faciliteront sa mise en œuvre et seront un atout pour le secteur de la cybersécurité de l’UE sur les marchés mondiaux.

Photo : Tron Le/Unsplash


Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :