Inquiet pour la sécurité des objets connectés, le gouvernement japonais a un plan pour vérifier la qualité des mots de passe.

Quatorzième sommet du G20 à Osaka à la fin du mois de juin, neuvième édition de la coupe du monde de rugby à Tokyo cet automne, mais aussi, et surtout accueil des Jeux olympiques d’été l’année prochaine. Le moins que l’on puisse dire, c’est que le Japon sera sur le devant de la scène au cours des deux prochaines années.

Pour Tokyo, la tenue de ces évènements internationaux sur son sol représente une bonne occasion de briller. D’ailleurs, le pays va en profiter pour faire la démonstration de son savoir-faire technologique, qu’il s’agisse de conduite autonome, de 5G ou de robotique. Et de toute évidence, les autorités souhaitent aussi être au niveau en ce qui concerne la sécurité de l’Internet des objets.

Un avion faisant la promotion des JO de 2020 au Japon
Un avion faisant la promotion des JO de 2020 au Japon. // Source : Alec Wilson

Vérification des mots de passe

ZDNet rapporte que les employés de l’agence nationale des nouvelles technologies de l’information et la communication ont reçu l’autorisation de tenter de « pirater » les objets connectés qui sont vendus au grand public afin d’évaluer leur niveau de sécurité. Ce projet est d’ampleur : il doit commencer au mois de février et concerner pas moins de 200 millions d’appareils.

L’objectif n’est pas vraiment de lancer des attaques informatiques ou de trouver des défauts de conception logicielle, mais plutôt de voir si ces appareils n’emploient pas de mots de passe génériques trop simples à devenir (comme « admin » pour l’identifiant et « admin » pour le mot de passe, ou bien une suite évidente de caractères, comme « 0000 ») ou tirés de dictionnaires de mots de passe.

Cisco routeur
Les routeurs sont une priorité du test. // Source : Mark Tighes

Il s’agit avant tout d’un travail d’inventaire, qui commencera par cibler en priorité les routeurs et les webcams. Une fois réalisée la liste des objets connectés posant un problème de sécurité, l’agence contactera les entreprises concernées pour qu’elles prennent les dispositions qui s’imposent, comme l’obligation de choisir un mot de passe personnalisé.

L’initiative conduite au Japon rappelle d’une certaine façon une législation passée en Californie l’automne dernier. À partir du 1er janvier 2020, les entreprises vendant ce type d’appareil devront proposer un mot de passe préprogrammé unique par appareil ou bien prévoir un système qui oblige l’internaute à en concevoir un lors de la première activation du produit.

Éviter les incidents à la Mirai

Cette approche ne prétend évidemment pas déboucher sur une sécurisation parfaite de l’Internet des objets au Japon, mais elle doit réduire la voilure du risque en rendant plus difficile des attaques de type Mirai, un logiciel malveillant qui s’est introduit dans des objets connectés mal sécurisés pour les infecter et lancer des attaques par déni de service distribuées.

Il faut en effet savoir que la propagation de Mirai a été facilitée par la faiblesse des mots de passe sécurisants les objets connectés : Mirai n’a eu qu’à tester 60 combinaisons de nom d’utilisateur et de mot de passe pour pirater le système qu’il cherche à infecter. C’est ce type de scénario que le Japon cherche à éviter. L’une des solutions consiste aussi à limiter le nombre d’essais de connexion.

Mots de passe faibles
Est-ce bien raisonnable ? // Source : Kaspersky

L’initiative prise par le gouvernement japonais est d’autant plus sage qu’il est établi que les grands évènements médiatiques peuvent constituer une cible de choix pour des tiers malveillants.

Début 2018, les organisateurs des Jeux olympiques d’hiver en Corée du Sud ont rapporté avoir été la cible d’une attaque informatique pendant la cérémonie d’ouverture. La Russie aussi s’est plainte de cette situation pendant la Coupe du monde 2018. Les JO au Brésil en 2016 et le Tour de France en 2015 ont aussi connu des incidents de sécurité informatique de différents degrés de gravité.

Partager sur les réseaux sociaux