Comme le rapporte la version anglaise du Yomiuri Shimbun, The Japan News, le gouvernement japonais veut renforcer les mesures de sécurité de l'IoT en vue des Jeux Olympiques d'été de 2020 ayant lieu à Tokyo. Son plan ? Scanner le réseau pour détecter les objets connectés susceptibles de subir une cyber attaque et alerter son utilisateur des dangers potentiels.
Les années 2016 et 2017 ont prouvé que les cyberattaquants avaient beaucoup de ressources. Après les affaires Mirai, Petya, les attaques d'Equifax et de SVR Tracking, il y a de bonnes raisons pour que les gouvernements de nombreux pays cherchent à protéger les entreprises et leur citoyen de ce type de pratique malveillante.
Pour cela le gouvernement japonais explore la possibilité de scanner le réseau pour détecter les objets connectés contenant des backdoors, de prévenir les utilisateurs et de les pousser à prendre des mesures pour renforcer la sécurité.
Pour ce faire, l'initiative du gouvernement japonais réclame d'emprunter les méthodes des pirates informatiques à l'origine du Botnet Miraï. Rappelons qu'il s'agit d'explorer de manière automatisée les réseaux afin de détecter les ports ouverts des objets, de tenter de déchiffrer le mot de passe codé en dur souvent très simple (du type 1234 ou admin admin) et d'y insérer malware.
Cependant, les autorités n'ont pas précisé si les hackers blancs travaillant pour les autorités japonaises s'arrêteraient à la phase de détection pour prévenir l'utilisateur par le biais de son adresse IP.
Le gouvernement japonais confronté à des lois protectrices des utilisateurs
Or, au Japon deux lois protègent les utilisateurs de tels appareils : une loi concernant l'interdiction des accès informatiques non autorisés et la loi concernant les télécommunications.
La première interdit et rend punissable, même en cas d'investigation, le fait d'entrer les identifiants puis les mots de passe d'une personne et d'infiltrer son ordinateur ou tout objet connecté.
La seconde protège le contenu des télécommunications en interdisant aux FAI de s'y immiscer, mais également de les identifier par le biais de leur adresse IP. Cela est seulement possible si un appareil est suspecté de contenir ou diffuser un malware.
De même, le gouvernement japonais n'a pas déterminé si l'exploitation des mots de passe en dur même fourni par les fabricants d'objets connectés est légale.
Le cyberespace évolue bien plus vite que les textes de lois
Cela demande donc de revoir ces législations très protectrices pour les utilisateurs. Le gouvernement japonais justifie son approche radicale par la peur d'un raz de marée : “Si nous laissons la situation actuelle perdure, nous ne pourrons même pas nous occuper de 10 % des appareils possiblement infectés”, a déclaré une personne proche du dossier au journaliste du quotidien Yomiuri Shimbun.
Cela demande également au gouvernement d'éclaircir les zones d'ombre concernant les lois et les pratiques en cours pour détecter les cyberattaques. Il faut d'abord évaluer les possibilités d'action avec les lois actuelles.
Encore faut-il que les populations acceptent ces intrusions possibles dans la vie privée. Que ce soit en France, en Allemagne, aux États-Unis ou au Japon, le respect de cette valeur est fortement ancré dans les mœurs.
L'Allemagne a déjà appliqué ce type de réforme législative qui impose aux opérateurs de télécommunications de prévenir les utilisateurs s'ils possèdent un terminal infecté par un virus. Les autorités fédérales américaines progressent sur cette voie en cherchant à imposer des lignes de bonne conduite aux fabricants, tandis que l'Union européenne s'apprête à appliquer le 25 mai 2018 le règlement européen sur la protection des données, le RGPD.
- Partager l'article :
