L’étiquetage de sécurité pourrait élever la barre informatique, mais ne s’arrêtera pas après SolarWinds

  • FrançaisFrançais


  • Les projets de l’administration Biden de publier un système d’évaluation de la sécurité des produits pourraient relever la barre de la sécurité dans son ensemble, disent les experts, mais n’empêcheront probablement pas les prochains hacks SolarWinds ou Microsoft.

    Lors d’un briefing aux journalistes vendredi, un haut fonctionnaire a comparé le système de notation à venir aux notes des lettres de santé et de sécurité dans les restaurants. Et c’est un concept que la communauté de la cybersécurité défend depuis un certain temps: placez une étiquette sur la boîte indiquant qu’un produit est ou n’est pas sécurisé, et laissez les consommateurs créer un marché autour de la sécurité.

    Mais les experts disent que la simplicité de ce concept est à la fois sa force et sa faiblesse: c’est un concept facile à comprendre et qui pourrait conduire au respect d’un ensemble de normes, mais il n’empêchera pas des attaques plus sophistiquées et pourrait créer une fausse impression de complaisance.

    «L’étiquetage ne résoudra pas les problèmes des États-nations, quelle que soit la qualité du label, même s’il est parfaitement appliqué et place la barre très haut», a déclaré Beau Woods, chercheur en innovation en cybersécurité au Conseil de l’Atlantique et bénévole sur Internet. -of-Things groupe de défense de la sécurité I Am The Cavalry.

    Plusieurs gouvernements, à la fois des nations individuelles et l’Union européenne, ont appliqué des normes de cybersécurité ces dernières années, en particulier autour des appareils IoT. Lors de la réunion d’information, l’administration a spécifiquement mentionné la loi sur l’étiquetage de Singapour. Les étiquettes créent une norme de cybersécurité de base volontaire.

    Le problème est que les normes de base font un bon travail pour la grande majorité des pirates, mais elles ne concernent pas les pirates dotés de capacités extraordinaires. Aucune norme ne peut créer des produits parfaitement sécurisés, car ils n’existent tout simplement pas.

    Brad Rees, directeur de la technologie de l’ioXt Alliance, un groupe industriel développant des normes d’étiquetage pour l’IoT, a noté que les problèmes derrière le piratage de SolarWinds ne se seraient probablement pas manifestés dans une évaluation de produit.

    “Il est malheureux que la Maison Blanche ait choisi de rejeter ou de taquiner un système d’étiquetage IoT au milieu de parler d’un pirate informatique chinois avec Microsoft Exchange”, a-t-il déclaré. «Les schémas d’étiquetage sont là pour éviter les problèmes de sécurité de base. Ils ne sont pas à l’épreuve des États-nations. Ce n’est pas l’intention. »

    L’intention, a déclaré Rees, est d’arrêter les types d’attaques qui peuvent être dirigées avec une liste de contrôle. Il a souligné le piratage de la Verkada la semaine dernière, où les caméras avaient un mot de passe par défaut fixe. Une étiquette basée sur une liste de contrôle aurait pu empêcher que cela se produise ou, au minimum, informer les consommateurs du risque afin qu’ils aient pu faire des choix d’achat en conséquence.

    Les normes de sécurité de base peuvent inciter les États-nations à travailler plus dur pour pirater les fruits à portée de main. Mais une attaque Hafnium Microsoft Exchange, utilisant des vulnérabilités auparavant inconnues d’un fournisseur avec une hygiène de sécurité bien estimée, peut être hors de portée des normes. De même, les attaques complexes de la chaîne d’approvisionnement qui transforment les logiciels par des chevaux de Troie et se déplacent latéralement sur les réseaux apportent un niveau de sophistication qui dépasse probablement celui de toute norme d’évaluation de la sécurité.

    «Si un système d’étiquetage réussit, il obligera les adversaires à haute capacité à révéler davantage de leurs capacités afin qu’ils soient plus traçables et découvrables», a déclaré Woods. «Mais cela ne résoudra pas le problème de SolarWinds.»

    Les étiquettes, disent Rees et Woods, peuvent offrir de nombreux avantages, mais uniquement lorsqu’elles sont manipulées correctement. Il a cité les caprices du système d’étiquetage de Singapour à titre d’exemple. Singapour fournit une cote de sécurité à un chiffre, avec peu de contexte sur la signification de ce nombre.

    La solution que l’Alliance ioXt a recherchée, par comparaison, serait un sceau qu’un produit répond à une norme minimale. Pour les particuliers, un oui ou non binaire, sécurisé ou non, pourrait suffire. Mais ce sceau devrait également être accompagné de la possibilité pour les organisations d’obtenir plus de détails, a-t-il ajouté. Sur son site Web, ioXt contient des informations détaillées sur un certain nombre de dimensions de sécurité différentes qui vont au-delà des exigences minimales. Il craint que beaucoup d’informations sur le produit ne fassent briller les yeux des consommateurs.

    «Vous devez vous soucier de l’effet NASCAR lorsque vous lancez une ampoule. Combien d’étiquettes devez-vous placer sur cette chose? Et, en tant que consommateur, lequel des 20 labels compte pour vous? » il a dit.

    Woods estime que les étiquettes sont plus efficaces en conjonction avec des normes de sécurité strictes et obligatoires – qu’elles ne devraient aborder que dans quelle mesure un produit irait au-delà de la norme minimale. Il a ajouté que le Royaume-Uni avait mené des enquêtes approfondies sur la meilleure façon de mettre en œuvre une exigence d’étiquetage IoT avant de décider finalement que légiférer des normes de base serait finalement plus efficace.

    La métaphore de l’inspection sanitaire des restaurants utilisée par l’administration est une bonne visualisation pour le grand public. Ce n’est pas une métaphore parfaite de la façon dont Rees pense qu’une norme d’étiquetage fonctionnerait probablement, et Woods a remis en question un peu l’ambiguïté qu’elle a amenée à la table.

    Les restaurants font l’objet d’une enquête par une autorité de santé publique officielle. Cela pourrait ne pas être réalisable pour une industrie technologique produisant un nombre écrasant de produits au cours d’une année donnée. Une solution plus réaliste, a déclaré Rees, pourrait être un mélange de laboratoires tiers et d’autocertification. ioXt applique son auto-certification avec une prime de bogue comme un programme incitant les chercheurs à découvrir des erreurs d’auto-déclaration. Woods a déclaré que lorsque I Am the Cavalry a travaillé sur des normes dans le passé, il s’est toujours concentré sur des normes que les utilisateurs pouvaient facilement valider.

    Un problème plus nuancé avec l’analogie du restaurant pourrait être de déterminer ce qui serait exactement certifié. D’après le contexte, il semblait s’agir d’une sorte de certification de produit, mais Woods a noté qu’il pouvait s’agir d’une certification de processus – l’hygiène au niveau du développement ou de l’entreprise. La Maison Blanche n’a pas immédiatement répondu à un e-mail demandant des éclaircissements.

    Hormis l’ambiguïté, Rees a déclaré qu’il y avait une réelle opportunité pour une norme d’étiquetage de relever la barre de la sécurité dans son ensemble.

    «La réponse courte est, absolument, cela augmentera le niveau de sécurité», a-t-il déclaré. «La réponse moyenne est que les entreprises qui passent par ces évaluations se retrouvent avec la sécurité en tête. Cela ne rendra pas les choses incassables. Mais je vais vous dire que les entreprises qui effectuent des évaluations sont au-dessus de celles qui ne regardent même pas lorsqu’elles lancent des produits. »

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *