Le législateur californien a fait voter une loi interdisant aux entreprises d'utiliser un même mot de passe par défaut pour leurs produits. Chaque appareil devra avoir un mot de passe unique.

Comment élever le niveau de sécurité en informatique chez les particuliers ? L’approche la plus banale consiste à tenter de les sensibiliser, par exemple en les incitant à prendre un mot de passe satisfaisant les bonnes pratiques du genre (longueur, complexité et unicité). Mais l’effort ne doit pas reposer uniquement sur l’individu, dans la mesure où les tentatives de pédagogie ne donnent pas toujours grand chose.

Dans ces cas-là, c’est sur la contribution des entreprises fournissant des produits et des services qu’il faut miser. Par exemple en interdisant d’utiliser des mots de passe trop simples ou bien en forçant le renouvellement des mots de passe trop anciens. Ces dispositions sont évidemment volontaires et à la discrétion des sociétés. Sauf quand le législateur s’en mêle.

C’est justement cette voie qu’emprunte la Californie. Dans cet État très technophile de l’Amérique, les parlementaires ont voté une loi qui oblige les fabricants d’équipements connectés à générer un mot de passe par défaut qui soit unique par appareil. En clair, il n’est plus question de distribuer du matériel dont le mot de passe par défaut est « pass » avec l’identifiant « admin ».

Un pas dans la bonne direction

Cette nouvelle législation, signalée par la BBC, laisse toutefois quelques années à l’industrie pour se préparer à ces nouvelles règles. Ainsi, la loi n’entrera en vigueur que le 1er janvier 2020. Pour être dans les clous, chaque constructeur devra soit proposer un mot de passe préprogrammé unique par appareil ou mettre en place un système obligeant l’usager à en imaginer un lors de la première activation du produit.

La mesure imaginée en Californie n’est évidemment pas la réponse ultime à l’enjeu de la sécurité informatique : mais elle traite néanmoins une dimension du problème, en évitant que soient mis en circulation des équipements basés sur le même mot de passe, ou le même couple identifiant / mot de passe. Ces machines sont en effet du pain bénit pour les pirates pour attaquer de nombreux appareils d’un coup.

Cette loi est d’autant plus importante lorsque l’on sait que les objets connectés sont de plus en plus nombreux et divers, et que le suivi technique et de sécurité par les firmes qui les vendent n’est pas toujours des plus rigoureux. En obligeant de base à un mot de passe unique par appareil, on réduit un peu la surface d’attaque ou, le cas échéant, son ampleur.

Bien sûr, cette loi a ses limites : elle n’empêche pas un utilisateur de choisir un mot de passe faible dans le cas où c’est l’option du mot de passe à générer lors de la configuration qui est choisie. Elle n’impose pas non plus un nombre limite de tentatives de connexion. Mais elle contient des dispositions permettant à une victime d’un piratage de se retourner contre l’industriel si la mesure n’a pas été respectée.

En France, il n’existe pas à notre connaissance de législation de cet acabit. À défaut, la Cnil fait de temps à autre des piqûres de rappel en la matière. Ceci étant dit, ce problème est parfois pris en compte, mais sans doute de façon insuffisante. En 2015, Orange avait publié un firmware qui a réinitialisé le mot de la passe de la Livebox 2, parce que la combinaison à employer était admin / admin.