ETSI EN 303 645 cyber securite RGPD ©Intertek

Les enceintes intelligentes auront bientôt une date de péremption

Article modifié le 16 avril 2023

Vous avez sûrement déjà lus ces articles à propos d’objets connectés tels que des téléviseurs bloqués à cause d’une cyberattaque. L’Europe s’est attaquée au sujet en demandant à l’ETSI de sortir un standard de protection adapté. Il existe sous le numéro EN 303 645. Bien pensé, aussi restrictif que protecteur, il pense à l’utilisateur avant tout. Il est surtout accompagné d’obligations inédites, dont une date de fin de suivi logiciel ! Visuel d’introduction ©Intertek

Sommaire afficher

Quels objets connectés sont concernés ?

Le standard EN 303 645 concerne la sécurité des objets connectés au sens large. C’est-à-dire tous les équipements électroniques domestiques capables de communiquer avec Internet, directement ou à travers une passerelle.

Il s’inscrit au sein du EU Cybersecurity Act qui a pour but d’informer les consommateurs sur le niveau de risque de cyberattaque sur les produits qu’ils achètent. Cela concerne aussi bien les appareils professionnels que les appareils grand public.

L’objectif du standard EN 303 645 est de protéger les objets connectés de toute attaque. Qu’ils ne puissent pas être piratés, qu’ils ne puissent pas servir de relais invisible et que les informations personnelles ne soient pas accessibles. On ne pouvait demander mieux.

Voici la liste des équipements, et elle est longue :

  • jouets connectés
  • baby monitor
  • détecteurs de fumée connectés
  • serrure connectées
  • capteurs d’ouverture de fenêtres
  • passerelles et hubs IoT
  • caméras connectées
  • smart TV
  • enceintes connectées
  • trackers de santé
  • systèmes domotique
  • systèmes d’alarme
  • électroménager connecté
  • assistants intelligents
  • tout accessoire communiquant avec un hub connecté (capteurs de fuite d’eau, gestion de la consommation, etc.)

Ce sont tous des produits qui ont un accès à Internet. Celui-ci sert aussi bien au contrôle à distance, à l’accès aux services associés dans le cloud qu’aux mises à jour logicielles.

Vous l’avez remarqué : les enceintes connectées et intelligentes au cœur du site Multiroom sont dans cette liste.

Les points principaux du standard EN 303 645

Le standard est disponible sur le site de l’ETSI pour aller plus loin. J’ai sélectionné et traduit pour vous les 5 points qui m’ont le plus marqué. Ils résument bien l’idée de sécurisation des produits et de protection des données de l’utilisateur.

1. Stratégie de mot de passe

Lors de la phase d’initialisation, l’utilisateur doit fournir un nouveau mot de passe. La procédure ne peut pas se terminer sans que le nouveau mot de passe soit différent du mot de passe par défaut (point 5.1-1)

2. Assurer le suivi des mises à jour logicielles de sécurité

Le fabricant publie, sous une forme accessible, claire et transparente pour l’utilisateur, la période de support définie, c’est-à-dire jusqu’à quelle date le produit recevra des mises à jour de sécurité. Cette information doit être inscrite dans la documentation ou sur la page web du produit (point 5.3-13).

Les fabricants doivent continuellement surveiller, identifier et corriger les vulnérabilités de sécurité au sein des produits et services qu’ils vendent, produisent, font produire et services qu’ils exploitent pendant la période de support définie (point 5.2-3).

Pour les accessoires qui ne peuvent être mises à jour, tels que des capteurs d’ouverture ou de température, en cas de vulnérabilité le capteur doit être déconnecté du réseau et ne plus transmettre aucune donnée à la passerelle (point 5.3-15).

3. Stockage sécurisé des paramètres sensibles et des données utilisateur

Toutes les capacités de détection externes de l’appareil doivent être documentées de manière accessible, claire et transparente pour l’utilisateur, dans la notice, sur le packaging ou dans l’application (point 5.8-3).

Le fabricant fournit aux consommateurs des informations claires et transparentes sur les données à caractère personnel traitées, comment elles sont utilisées, par qui et à quelles fins, pour chaque appareil et service. Ceci s’applique également au partenaires pouvant être impliqués, y compris les annonceurs (point 6-1).

4. Minimiser l’exposition aux attaques

La confidentialité des données personnelles transitant entre un équipement et un service en ligne, doit être protégée avec les meilleures pratiques de cryptographie (point 5.8-1).

L’équipement ne doit pas exposer inutilement les interfaces physiques aux attaques (point 5.6-3).

Le fabricant ne doit activer que les services logiciels qui sont utilisés ou requis pour l’utilisation ou le fonctionnement prévu de l’équipement (point 5.6-4).

5. Faciliter la suppression des données de l’utilisateur

L’utilisateur doit disposer d’une fonctionnalité pour que ses données puissent être effacées de l’équipement de manière simple (point 5.11-1).

Les consommateurs qui ont donné leur consentement au traitement de leurs données personnelles ont la possibilité de le retirer à tout moment (point 6-3).

L’utilisateur doit recevoir une confirmation claire que les données personnelles ont été supprimées des services, appareils et applications (point 5.11-4).

Le RGPD appliqué aux objets connectés

Aujourd’hui, le RGPD, ou Règlement Général sur la Protection des Données, est obligatoire sur tous les sites Internet et dans toute relation commerciale. Tout le monde peut s’opposer à l’utilisation de ses données personnelles, consulter celles qui ont été stockées et demander leur destruction.

Le standard EN 303 645, c’est un peu le RGPD pour les objets connectés ! Une fois ce standard appliqué, et ce doit être le cas d’ici l’été 2024 pour tous les produits commercialisés en Europe, les utilisateurs auront une vue et un contrôle total sur leurs produits connectés.

Premièrement, ils auront la garantie que leurs équipements ne peuvent pas être piratés grâce aux bonnes pratiques. Ensuite, ils sauront exactement quelles données sont conservées avec la possibilité de tout effacer. Enfin, la date de fin de support clairement annoncée pourra changer beaucoup de choses, ce que l’on peut quasiment rapprocher d’une date de péremption.

Sur ce dernier point, cela peut devenir un critère de choix : j’achète le produit connecté qui a la plus longue période de support et pas son concurrent.

Ce sera d’autant plus facile dans le domaine de la maison connectée avec le nouveau protocole Matter qui va rendre beaucoup de produits concurrents compatibles entre eux.

Pour terminer, savoir exactement ce que font les capteurs de l’équipement devrait déjà exister ! Apple ne pourra plus cacher des capteurs de température et d’humidité dans ses produit pendant 2 ans sans prévenir personne.

Sources :

A lire également :


Commentaires


0 commentaires pour “Les enceintes intelligentes auront bientôt une date de péremption”

Laissez une réponse

Votre adresse eMail ne sera jamais publiée.

© Copyright 2004 - 2024 Multiroom