Depuis le 1er août, une directive européenne oblige les fabricants d’objets connectés à respecter de nouvelles normes de sécurité pour continuer à commercialiser leurs produits dans l’UE. Cette réglementation se veut capitale face aux risques de plus en plus croissants d’espionnage et de collecte des données.

Depuis le 1er août, une nouvelle directive européenne impose aux fabricants d’objets connectés de déployer de nouvelles normes de sécurité pour protéger les utilisateurs. Cette exigence concerne les appareils radioélectriques, c’est-à-dire capables d’émettre ou de recevoir des fréquences radio, du Wi-Fi et d’être télécommandés. Elle englobera tous les objets numériques d’ici à 2027, en vertu du Cyber Resilience Act.

Les objets connectés sont omniprésents dans nos vies

Avec la généralisation du numérique, de nombreux équipements de la vie quotidienne (électroniques et électriques) sont désormais reliés à Internet. C’est ce qu’on appelle des objets connectés. Il y en a une pléthore actuellement. On peut citer pêle-mêle les téléphones, les ordinateurs, les montres et lunettes connectées, les appareils électroménagers (TV et frigo par exemple) et de cuisine (robots mixeurs notamment), les balances connectées, les caméras intérieures, les alarmes de maison, les thermostats, les babyphones, les jouets connectés et les ampoules intelligentes. Ces produits sont désormais partout : sur nous, au travail, à domicile, etc. Pourtant, leur sécurité connait parfois des brèches.

Les objets connectés présentent des risques d’atteinte à la vie privée

En effet, il y a des risques d’atteintes à la vie privée, notamment par la captation à distance d’images ou de vidéos prises dans l’intimité. On note également des risques de contrôle des équipements à distance, pour mener des attaques ou des opérations de saturation de service. Le hacker peut par exemple envoyer massivement des requêtes simultanées à un très grand nombre d’objets connectés pour les rendre inaccessibles ou les faire disjoncter. Ces attaques en déni de service visent généralement les entreprises pour pénaliser leurs activités en ligne.

De mots de passe par défaut non sécurisés, un chiffrement inexistant ou faible…

Selon une récente étude de l’Institut national de test pour la cybersécurité (NTC), un organisme indépendant basé en Suisse, la plupart des appareils connectés comportent des vulnérabilités évidentes. Il peut s’agir de mots de passe par défaut non sécurisés, permettant de se connecter facilement à la place du propriétaire, d’un chiffrement inexistant ou faible lors de la transmission des données, ou de dispositifs de mise à jour des logiciels peu performants. L’enquête relève toutefois que le niveau de sécurité des objets varie en fonction du fabricant et du vendeur.

Les fabricants s’intéressent peu aux risques de sécurité lies à leurs objets connectés

Face à la forte concurrence sur le marché et à l’impérieux besoin de lancer régulièrement des produits attrayants, les fabricants misent davantage sur les fonctionnalités techniques et le prix de leurs appareils, que sur la sécurité. Ils s’intéressent donc peu aux risques numériques pouvant nuire aux utilisateurs. C’est justement pour les contraindre à considérer ce point qu’une directive européenne sur les équipements radioélectriques a été adoptée et mise en œuvre le 1er août dernier. Cette nouvelle réglementation concerne les produits émettant et/ou recevant des ondes radio. Elle inclut aussi les communications sans fil, passant par l’intégration de modules Wi-Fi ou Bluetooth.

Une interdiction de commercialisation en cas de non-respect des nouvelle normes

Concrètement, la directive impose aux fabricants de respecter un cahier des charges en matière de sécurité numérique. Les entreprises doivent travailler sur trois préoccupations en particulier. D’abord les conditions d’accès de l’appareil au réseau : l’objet connecté ne doit pas créer de perturbations, ni saturer le réseau lorsqu’il fonctionne.

Ensuite, il faudra garantir la confidentialité et la préservation des données personnelles des utilisateurs. Enfin, les fabricants ont obligation d’empêcher les usages frauduleux par des tiers. En somme, il est question de revoir leur mode de conception et de production. La non-conformité à ces principes de sécurité numérique peut entraîner l’interdiction de commercialisation des produits concernés sur le territoire européen.