Le Royaume-Uni interdit par défaut les mots de passe faibles

Le Royaume-Uni a proposé en 2021, au sein du Product Security and Telecommunications Infrastructure (PSTI) Bill, d’interdire l’utilisation de mots de passe universels par défaut sur les appareils connectés, y compris ceux de l’Internet des objets (IoT).

De nouvelles réglementations destinées à assurer la protection des consommateurs contre le piratage et les cyberattaques sont entrées en vigueur ce lundi, exigeant que les appareils intelligents connectés répondent aux « normes minimales de sécurité » établies par la loi.

L’une des réglementations interdit aux fabricants d’implémenter des mots de passe par défaut faibles et faciles à deviner sur les produits connectés à Internet, comme l’explique le ministère de la Science, de l’Innovation et de la Technologie dans une déclaration publiée sur le site Web du gouvernement.

Des téléphones portables aux réfrigérateurs connectés à Internet

Cela signifie qu’ils ne pourront pas utiliser de mots de passe tels que « 1234 » ou « Admin » sur les appareils dotés d’une connexion Internet, tels que les smartphones, tablettes, téléviseurs, enceintes, montres intelligentes, consoles de jeux vidéo ou encore réfrigérateurs connectés. Et si un mot de passe couramment utilisé est utilisé, la réglementation indique que l’utilisateur sera invité à le modifier lors de sa connexion.

Cela vise à promouvoir la protection des personnes, de la société et de l’économie contre d’éventuels cybercriminels, ainsi qu’à accroître la confiance des consommateurs dans la sécurité des produits qu’ils achètent et utilisent.

La nouvelle loi, entrée en vigueur ce lundi, vise à accroître la cyber-résilience dans le pays, où 99 % des adultes possèdent au moins un appareil intelligent et où il y a en moyenne neuf appareils connectés dans les foyers.

12 000 attaques en une seule semaine

Les appareils intelligents qui font partie d’une maison peuvent être exposés à plus de 12 000 attaques de piratage provenant du monde entier en une seule semaine. Au total, 2 684 visaient à tenter de deviner des mots de passe faibles, selon une étude de Which ? cité par le gouvernement.

Cette loi fait partie du régime de sécurité des produits et des infrastructures de télécommunications (PSTI), conçu pour améliorer la résilience du pays aux cyberattaques et garantir que les « interférences malveillantes » n’affectent pas l’économie mondiale.

En outre, il introduit d’autres protections de sécurité, telles que l’obligation pour les fabricants de publier leurs coordonnées afin que les utilisateurs et les entreprises puissent être informés afin de résoudre les erreurs et les problèmes.

Les fabricants et les détaillants devront également être francs avec les consommateurs quant au temps minimum nécessaire pour recevoir des mises à jour de sécurité importantes sur les appareils intelligents connectés.

En plus de tout cela, les consommateurs et les experts en cybersécurité peuvent également signaler tout produit qui ne répond pas aux normes fixées dans la réglementation à l’Office of Product Standards and Safety (OPSS).