Ars Technica explique qu’une « nouvelle version de la loi de 2022 sur la sécurité des produits et l’infrastructure des télécommunications (PTSI) est maintenant en vigueur ». Désormais, tous les produits connectés doivent disposer d’un « mot de passe aléatoire ou générer un mot de passe lors de l’initialisation (via une application pour smartphone ou d’autres moyens) ».
Les Britanniques ont pris soin de préciser que le mot de passe ne peut pas être incrémentiel de type password1, password2… et ne doit pas être « lié de manière évidente à des informations publiques ». On pense notamment à l’adresse MAC ou un SSID de réseau Wi-Fi.
Un mécanisme « simple » doit permettre de changer le mot de passe. On se souvient, par exemple, que certaines caméras chinoises avaient un mot de passe écrit en dur, directement dans le code… Dans la même idée, les composants logiciels doivent pouvoir être mis à jour.
Des sanctions sont prévues en cas de non-respect : « jusqu’à 10 millions de livres [environ 11,7 millions d’euros, ndlr] ou 4 % du chiffre d’affaires mondial connexe, selon le montant le plus élevé », expliquent nos confrères.
La loi Cyber résilience en Europe… pour 2027 ?
En Europe, la sécurité des produits numériques est aussi en train d’être revue avec la loi Cyber résilience. Elle prévoit notamment que les produits tels que des logiciels de gestion d’identité, les gestionnaires de mots de passe, les lecteurs biométriques, les assistants domestiques intelligents et les caméras de sécurité privées « soient couverts par les nouvelles règles. Les produits devraient également recevoir des mises à jour de sécurité installées automatiquement et séparément des mises à jour de fonctionnalités ».
Le Conseil doit encore voter la directive, puis l’Union européenne doit la publier à son journal officiel. Il entrera en vigueur 20 jours plus tard et « les nouvelles règles s’appliqueront trois ans après l’entrée en vigueur du règlement », précise Mathias Avocat. Tout cela nous emmène vers la seconde moitié de 2027.