Tout ce que nous savons sur les efforts d’étiquetage de sécurité IoT de la Maison Blanche

Aujourd’hui, la Maison Blanche a publié une déclaration qui disait essentiellement qu’elle avait eu une grande réunion avec de grands noms mercredi et qu’il y aurait une sorte d’étiquette de sécurité pour les appareils intelligents basée sur celle-ci au printemps 2023. Voici beaucoup plus sur ce que s’est passé et ce qui pourrait en résulter.

Nommée pour les efforts de l’administration Eisenhower pour repenser la stratégie de la guerre froide , l’une des recommandations de haut niveau de la US Cyber ​​​​Solarium Commission, dans son rapport de mars 2020 , était de « créer une autorité nationale de certification et d’étiquetage de la cybersécurité ». -Organisation non gouvernementale à but lucratif « deviendra l’autorité d’étiquetage pendant au moins cinq ans, étiquetant les produits sur la base d’un consensus des départements du commerce et de la sécurité intérieure, et « des experts du gouvernement fédéral, des universités, des organisations non gouvernementales ». le secteur privé ».

Et c’est à peu près qui s’est présenté, selon la Maison Blanche. Amazon, Comcast, Google, Intel, LG, Samsung, Sony et d’autres individus ont émergé. Il en a été de même pour la Connectivity Standards Alliance, le consortium à l’origine de Matter, avec l’American National Standards Institute (ANSI), Consumer Reports, la Consumer Technology Association, la CTIA et les groupes de pression de la National Retail Federation. Ajoutez à cela à peu près tous les organismes gouvernementaux chargés de la sécurité et vous obtenez un panneau recommandé par la Commission Solarium.

Les détails sur l’étiquette elle-même, telle qu’elle existe encore aujourd’hui, et ce qu’elle évaluerait ou mesurerait, n’étaient pas disponibles, mais il y avait des indices. CyberScoop a cité un responsable de la Maison Blanche disant que les évaluations des appareils pourraient être basées sur « les vulnérabilités corrigées, la quantité d’informations recueillies sur les consommateurs, si les données sont cryptées et la compatibilité avec d’autres produits ».

En ce qui concerne l’apparence de l’étiquette, il existe au moins un modèle. Des chercheurs de l’université Carnegie Mellon, l’une des parties invitées au sommet, ont déjà créé une « étiquette nutritionnelle » protectrice. D’après les avis de plus de 22 groupes, le label s’est bien comporté auprès des utilisateurs, selon l’université. Il fournit plusieurs couches de divulgation d’informations basées sur les problèmes courants de l’IoT : mots de passe par défaut, mises à jour de sécurité, fonctionnalités hors ligne, etc.

Vous pouvez même créer votre propre étiquette de sécurité ou simplement la lancer comme je l’ai fait.

La Maison Blanche a déclaré aux journalistes jeudi qu’elle cherchait à « simplifier les choses » avec un code qui peut être scanné par les téléphones pour révéler des informations de sécurité et de confidentialité.

Quels produits recevront des labels ? La Maison Blanche a déclaré mercredi aux journalistes qu’elle commencerait par un étiquetage volontaire au printemps 2023, en se concentrant sur « les appareils connectés à Internet particulièrement vulnérables tels que les routeurs » et les caméras domestiques.

Le communiqué de presse de la Maison Blanche note qu’il souhaite que ces efforts « créent un label mondialement reconnu ». Plus tôt ce mois-ci, CyberScoop a signalé que le groupe de travail travaillait avec l’Union européenne pour « harmoniser les normes ». ​​Sécurité et technologies émergentes Ann Neuberger a participé à la Semaine internationale de la cybersécurité à Singapour , où elle a décrit comment les États-Unis considèrent Singapour comme « un leader mondial de l’Internet des objets », comme le rapporte The Register .

Le système d’étiquetage de la cybersécurité de Singapour classe presque tous les appareils grand public connectés à Internet sur une échelle de quatre étoiles. Le système est reconnu par la Finlande et, à ce jour, par l’Allemagne . Lors d’une conférence cette semaine, il a été annoncé que le système pourrait bientôt apparaître sur les dispositifs médicaux. On peut parier que quel que soit le système développé aux États-Unis, il cherchera à atteindre une certaine réciprocité avec le système de Singapour, même si ce n’est qu’au même niveau.

Y a-t-il un aspect de Matière dans cette appellation ? Presque certainement, compte tenu de la présence du CSA au sommet de la Maison Blanche. La certification Matter exige déjà que les appareils utilisent le cryptage AES lors de la communication sur les réseaux, soient capables de recevoir des mises à jour par voie hertzienne, soient signés par code et disposent d’une enclave sécurisée pour stocker les clés et les certificats qui seront vérifiés sur le registre de la blockchain. Certains ou tous ces aspects (à l’exception du bit blockchain) sont susceptibles d’être pris en compte sur les étiquettes de sécurité.

Alors que la première version de cette étiquette de sécurité sera presque certainement une tentative compromise et politiquement acceptable, les choses seront probablement meilleures que le système que nous avons actuellement : rechercher individuellement des marques et des fabricants de maisons intelligentes sur Internet, avec les phrases finales « violation » et « vulnérabilité ».