Photo by Chris Ried on Unsplash

Première loi en matière d’Internet des objets

Un État américain adoptait récemment une modification législative visant à encadrer l’Internet des objets (l’« IoT »). En l’occurrence, la nouvelle loi dont il est ici question a été adoptée en Californie et dictera ce à quoi on est en droit de s’attendre (en matière de sécurité) de la part des fabricants qui mettent en marché des appareils connectés à l’Internet, incluant des appareils ménagers, des assistants personnels et des périphériques comme des caméras, etc.

La nouvelle loi issue du projet de loi no 327 du Sénat de la Californie exigera dorénavant que les appareils d’IoT soient munis de fonctionnalités de sécurité raisonnablement efficaces, visant à les prémunir (ainsi que l’information qui y est contenue) contre tout accès, modification ou divulgation non autorisés. En somme, les appareils essentiellement non sécurisés (et susceptibles d’être piratés trop facilement) ne seront plus acceptables pour la mise en marché. C’est l’idée.

Le projet de loi en question modifiera le Code civil de Californie, en énonçant une série d’obligations auxquelles devront se plier les entreprises, y compris celles d’assurer la sécurité des renseignements personnels des Californiens. Ce projet de loi imposera notamment dorénavant aux fabricants d’appareils connectés mis en marché en Californie (peu importe où ces appareils sont fabriqués) l’obligation de sécuriser ces appareils à l’usine. Cette loi visera les fabricants d’appareils électroniques conçus pour être connectés à Internet, à savoir :

“Connected device” means any device, or other physical object that is capable of connecting to the Internet, directly or indirectly, and that is assigned an Internet Protocol address or Bluetooth address.

Ainsi, une fois la loi en vigueur (dès janvier 2020), tout fabricant dont les produits d’IoT sont disponibles sur le marché en Californie devra garantir un minimum de sécurité pour ses appareils connectés « out of the box ». En l’occurrence, il deviendra obligatoire pour tous les produits d’IoT sur le marché d’être munis de dispositifs de sécurité qui s’avèrent appropriés compte tenu de la nature et des fonctionnalités de chaque appareil et des types de renseignements qu’il collecte, contient ou transmet. D’ailleurs, le projet de loi précise que le fait pour un  appareil d’exiger un mot de passe qui lui est unique sera réputé suffisant, étant entendu que les appareils munis (à l’usine) de mots de passe par défaut seront dorénavant à proscrire. Puisque ce genre de mot de passe par défaut s’avère l’une des plaies de l’IoT à l’heure actuelle (vu la propension de l’acheteur moyen à ne jamais le remplacer par un mot de passe de son cru), on espère qu’une telle mesure influera positivement sur la cybersécurité internationale.

Bien que la Californie soit la première juridiction nord-américaine à se munir de telles règles, il est à prévoir que l’existence de telles règles dans un État aussi important forcera les fabricants, dans l’ensemble, à porter une plus grande attention à la question de la sécurité de leurs produits. Étant donné le droit d’action que conférera cette nouvelle loi aux individus (jumelé au climat favorable aux litiges aux États-Unis), on peut croire que la majorité des fabricants d’appareils électroniques adapteront leurs produits au cours de la prochaine année afin de respecter ce projet de loi à temps pour y être conformes d’ici janvier 2020.