Un premier État américain modifiait récemment son code civil afin de forcer les manufacturiers à sécuriser les appareils de type « Internet des objets » (« Internet of things », ou « IoT », dans le jargon) qu’ils mettent sur le marché. La Californie devient ainsi la première juridiction à imposer une obligation aux manufacturiers d'objets connectés de ne mettre sur le marché que des appareils munis d’une sécurité adéquate. Il s’agit d’une première, à ma connaissance, que d’autres États et d’autres juridictions sont susceptibles d’imiter au cours des prochains mois et des prochaines années, alors que l’on continue de brancher à Internet un nombre toujours grandissant de types d’appareils.
Les amendements adoptés récemment à ce sujet (par le projet de loi no 327 du Sénat de Californie) visent à tenter de régler un problème actuellement endémique lié au fait que les appareils d’IoT demeurent encore aujourd’hui trop souvent très mal protégés contre les attaques de pirates informatiques. Ces appareils sont souvent des cibles à la fois tentantes et faciles pour les cyberpirates, lesquels ont rapidement compris que ces objets sont généralement mal protégés par les fabricants. Comme les consommateurs discriminent peu contre les produits connectés sur la base de leurs fonctionnalités de sécurité, en pratique les fabricants sont incités (par le marché) à investir peu de ressources et mettre peu l’accent sur cet aspect, ce qui a pour résultat d’inonder le marché de produits assortis de piètre sécurité. Résultat direct : la majorité des appareils connectés s'avèrent généralement trop faciles à pirater. Puisque les manufacturiers continuent à ignorer le besoin d'une sécurité suffisante sur leurs appareils, la loi californienne leur imposera dorénavant une obligation d'y voir. C'est du moins l'idée de base derrière ce projet de loi.
En l'occurrence, les nouveaux articles du Code civil de la Californie exigeront que chaque appareil comprenne des dispositifs de sécurité qui s’avèrent appropriés, compte tenu de la nature et des fonctionnalités de chaque appareil et des types de renseignements qu’il est fait pour collecter, contenir ou transmettre. Les objets d'IoT dont la sécurité peut trop facilement être compromise seront donc désormais à proscrire, du moins pour la vente en Californie.
Les appareils visés incluent tous les appareils électroniques ou autres qui se connectent à Internet, incluant par exemple les assistants personnels, les électroménagers, les caméras et les autres types de périphériques. La définition énoncée dans la loi se lit en effet comme suit : « “Connected device” means any device, or other physical object that is capable of connecting to the Internet, directly or indirectly, and that is assigned an Internet Protocol address or Bluetooth address. »
Dorénavant, chaque appareil devra être muni de son propre mot de passe unique, dès sa sortie de l’usine, ou encore obliger chaque acheteur à sélectionner son propre mot de passe. On devra dorénavant éviter les mots de passe assignés par défaut, c’est-à-dire de façon uniforme à tous les articles d’un modèle de produit, par exemple – puisque c'est trop souvent la méthode utilisée pour contourner la sécurité des objets d’IoT.
Une fois les nouvelles dispositions parties du droit californien, les consommateurs lésés par des intrusions informatiques occasionnées par la sécurité insuffisante sur de tels appareils disposeront d'un recours en droit clair contre les fabricants de ces objets. On croit qu’un tel risque incitera vraisemblablement le secteur manufacturier à corriger le tir en matière de sécurité, question de minimiser les recours éventuels.
D’ailleurs, malgré le fait que cette nouveauté réglementaire soit (techniquement) limitée à la Californie, il est prévoir qu'un tel prérequis pour vendre dans cet État clé des États-Unis aura sans doute pour effet d'inciter tous les fabricants à mettre leurs produits à jour d'ici la date d'entrée en vigueur en janvier 2020. À en juger par l'expérience, il ne serait pas étonnant que d'autres juridictions emboîtent aussi le pas.