Une loi interdit les mauvais mots de passe
Il faut le lire pour le croire. Le flegme britannique est légendaire. Ainsi les sujets de Sa Majesté Charles III possèdent une nouvelle loi. Elle interdit d’utiliser certains mots de passe. Son but prévenir les fuites de données, les cyberattaques. Du moins, ne pas faciliter la tâche des « hackers » sur le WEB. Si la bienséance n’est pas de mise, la logique l’est. La multiplicité des objets connectés, les utilisateurs qui par facilité usent du même mot de passe… sont des vecteurs par lesquels les personnes mal intentionnées passent.
Il est des raisonnements qui pourraient traverser la Manche. Sans effet de manche, le mot de passe est un sujet majeur, pas un simple tour de passe-passe. Les moyens mnémotechniques pour se remémorer le précieux sésame existent. Pour autant, plus ou moins facile selon l’âge de l’utilisateur.
Une loi pour interdire les mots de passe par défaut
Une nouvelle loi outre-Manche interdit les mots de passe par défaut sur les appareils dits « intelligents ». C’est le Centre national de cybersécurité (NCSC) qui en est l’origine. Il appelle les fabricants à se conformer dès le 29 avril 2024 à une nouvelle loi. Elle proscrit l’utilisation des mots de passe par défaut.
« La loi, connue sous le nom de Product Security and Telecommunications Infrastructure act (ou PSTI act), aidera les consommateurs à choisir des appareils intelligents qui ont été conçus pour fournir une protection continue contre les cyberattaques », déclare le NCSC.
Les mots de passe « 123456 » ou « password » sont utilisés en France par plus de 6 millions d’individus. D’ailleurs, les mêmes mots de passe tels que « admin » ou « 12345 » sont désormais interdits au Royaume-Uni.
Les cyberattaques, quelles qu’elles soient, font l’objet d’une lutte internationale. Puisqu’ils courants et faciles à deviner, la loi prohibe l’usage de ces mots de passe. C’est une première mondiale.
(Crédits : Mohamed Hassan/Pixabay)
« Une maison remplie d’appareils intelligents pourrait être exposée à plus de 12 000 attaques de piratage provenant du monde entier en une seule semaine, avec 2 684 tentatives de deviner des mots de passe faibles sur cinq appareils », relate News Sky.
Une recrudescence d’appareils connectés
Au Royaume-Uni, 99 % des adultes ont à minima un appareil « intelligent ». De plus les foyers britanniques détiennent neuf équipements connectés en moyenne. Les chiffres sont éloquents outre-Manche : 57 % des ménages possèdent une télévision, 53 % un assistant vocal et un sur deux arbore une montre ou un bracelet de fitness, l’ensemble dit « smart ».
Cette loi semble être à l’heure anglaise. Les dix mots de passe les plus utilisés en 2023 sont : 123456, password, qwerty, liverpool, 123456789, arsenal, 12345678, 12345, abc123, chelsea.
Cette loi tend à mettre en œuvre un ensemble de normes de sécurité minimales. L’exemple cité par les journaux anglais est le réseau de zombies DDoS tel que Mirai.
Mirai, explique Cloudflare « c’est un logiciel malveillant qui infecte les appareils intelligents qui fonctionnent grâce à des processeurs ARC ». Ce qui les transforme en un réseau de « zombies » contrôlés à distance. L’ensemble compose un réseau de botnet, utilisé pour lancer des attaques DDoS.
(Crédits : freestocks-photos/Pixabay)
La mutation, tel un virus, de Mirai inquiète. The Hacker News relate la déclaration d’Omer Yoachimik et Jorge Pacheco : « Quatre attaques DDoS HTTP sur 100, et deux attaques DDoS L3/4 sur 100 sont lancées par un botnet variante de Mirai« ». Le code source a été rendu public, tel un open source, au fil des ans, de nombreuses mutations ont eu lieu.
Des amendes records
Dorénavant les fabricants sont tenus de fournir des appareils n’utilisant pas des mots de passe par défaut devinables, ou simples. Le Royaume-Uni devient ainsi le premier pays au monde à interdire les noms d’utilisateur et les mots de passe par défaut sur les appareils IoT. Le rapport de Cloudflare sur les menaces DDoS pour le premier trimestre 2024, indique que les attaques basées sur Mirai continuent.
Ces attaques perdurent huit années après que le botnet original ait été démantelé. Paras Jha, Josiah White et Dalton Norman, âgés de 20 à 21 ans plaident coupable lors de leurs procès.
Les objets connectés concernés sont les sonnettes de porte intelligentes, les baby-phones et caméras de sécurité, tablettes cellulaires, smartphones, consoles de jeux.
Mais aussi les appareils électroménagers intelligents. C’est à dire les ampoules, les prises, bouilloires, thermostats, fours, réfrigérateurs, nettoyeurs jusqu’aux machines à laver.
Cette loi vise à instruire ou éduquer. Cet ensemble de normes de sécurité minimales vise à empêcher les appareils vulnérables d’être intégrés dans un réseau de zombies DDoS tel que Mirai.
(Crédits : urish/Pixabay)
Au Royaume-Uni on ne plaisante pas avec les amendes. Les entreprises qui ne respectent pas les dispositions de la loi PSTI s’exposent à des rappels et à des sanctions pécuniaires, avec des amendes pouvant aller jusqu’à 10 millions de livres sterling (11,64 millions euros) ou 4 % de leur chiffre d’affaires annuel global, selon le montant le plus élevé.
Ping : Emcali victime d'une cyberattaque - Libre Expression