[EDITION ABONNES] Organisme créé en 2015 pour répondre aux défis liés à la sécurité des systèmes et objets connectés, l’IoT Security Foundation (IoTSF) vient de signer un accord de collaboration avec l’alliance Fido (Fast IDentity Online) afin de sensibiliser l’industrie sur les limites des mots de passe pour les appareils IoT et de proposer des alternatives pratiques aux fabricants de produits. ...L’objectif est de promouvoir des mécanismes d’authentification sans mot de passe plus simples et plus robustes pour l’accès à des services afin d’améliorer la cybersécurité.

Pour rappel, l’alliance Fido, fondée en 2012, est une alliance technologique ouverte dont la mission centrale est de définir des standards d’authentification numérique qui réduisent la dépendance aux mots de passe. Elle accueille aujourd’hui parmi ses membres tous les principaux acteurs de l’industrie qui mettent en œuvre ou ont besoin de solutions d’authentification numérique, dont Google, Amazon, Microsoft, Facebook et Ping Identity, sans oublier tous les principaux fournisseurs de terminaux mobiles. Après la définition d’un premier standard Fido 1.0 en décembre 2014, un second standard Fido2, plus mature, a été officiellement ratifié en mars 2019 (lire, pour plus de détails notre article ici).

Dans le domaine de l’IoT, il n’est pas rare que, pour des produits tels que les routeurs et les webcams, les fabricants optent pour des mots de passe par défaut universels d'usine et bien que ceux-ci puissent être modifiés, un nombre important reste défini par défaut. Cela en fait des cibles de choix pour les botnets qui mettent à profit les produits IoT pour des attaques par déni de service distribué (DDoS) telles que le célèbre Mirai et ses nombreuses variantes, rappelle l’IoT Security Foundation.

Avec la prolifération de produits IoT attendue dans les prochaines années, les problèmes rencontrés aujourd’hui avec les mots de passe devraient inévitablement s’exacerber. D’où les efforts en cours pour passer à une authentification IoT sans mots de passe. Déjà, reconnaît l’organisme IoTSF, plusieurs normes et réglementations ont fait un premier pas dans ce sens. Ainsi la norme Etsi 303 645, qui a été publiée mi-2020 et qui établit une base de travail pour la cybersécurité des produits IoT grand public, contient une disposition qui réfute l’usage de mots de passe universels par défaut, et cette norme constitue désormais un point de départ pour divers schémas de réglementation et de certification au niveau international.

Si c’est un bon début, l’IoT Security Foundation estime qu’il faut aller plus loin et s’orienter vers des alternatives aux mots de passe afin d’éliminer totalement leur utilisation. C’est le sens de la collaboration entre l’IoTSF et l’alliance Fido dont la méthode d’authentification Fido2 supprime tout usage de mots de passe pour accéder à n’importe quel service en ligne, sur le Web ou dans le cloud (lire notre article ici).

Les deux organismes vont désormais collaborer en s’appuyant sur le groupe technique IoT de l’alliance Fido qui travaille sur un cadre d'authentification complet pour les appareils IoT. Ce framework fournira des spécifications techniques détaillées pour l'authentification sans mot de passe, spécifications qui seront injectées dans le propre framework de l’IoT Security Foundation destiné à guider les développeurs à travers un processus structuré de « security-by-design ».

Vous pouvez aussi suivre nos actualités sur la vitrine LinkedIN de L'Embarqué consacrée à la sécurité dans les systèmes embarqués : Embedded-SEC