Ask HN : en tant que commissaire de la FCC, je propose une réglementation sur les mises à jour de sécurité de l’IoT

 (news.ycombinator.com)
1 points par GN⁺ 2023-09-06 | 1 commentaires | Partager sur WhatsApp
  • Des vulnérabilités graves sont fréquentes dans l’IoT, et il faut beaucoup trop de temps pour que ces problèmes soient corrigés sur les appareils des utilisateurs finaux.
  • Souvent, la durée pendant laquelle les fabricants prendront en charge les mises à jour de sécurité d’un produit n’est pas indiquée au moment de la vente.
  • La FCC a récemment publié un avis de proposition de réglementation pour un programme d’étiquetage de cybersécurité concernant les appareils connectés.
  • J’ai fortement plaidé pour que la divulgation de la durée pendant laquelle un produit recevra des mises à jour de sécurité fasse partie de ces critères.
  • De nombreux fabricants s’opposent à tout engagement concernant les mises à jour de sécurité.
  • Il est peu probable que la FCC et la Maison-Blanche adoptent une position ferme si elles n’entendent que le point de vue des fabricants d’appareils.
  • Vous avez été confrontés à des sécurités désastreuses : protocoles non sûrs, clés privées exposées, etc.
  • On m’a demandé : « Pourquoi n’existe-t-il pas de règles sur ce genre de choses ? »
  • C’est l’occasion pour vous de dire ce que vous pensez de la manière dont ces règles devraient être conçues et de le faire consigner officiellement.
  • Si vous voulez avoir un impact, vous devez soumettre vos commentaires dans le cadre de la procédure réglementaire avant le 25 septembre 2023 (minuit, heure de l’Est).
  • La FCC doit prendre vos arguments en considération.
  • Je suis ici pour vous écouter et apprendre de vous.
  • Mon conseiller juridique, Marco Peraza, répondra également aux questions.
  • J’espère que mes collègues de la FCC seront eux aussi ouverts à vos idées, et même à reconnaître que je peux me tromper. Merci !```

À lire aussi

1 commentaires

 
GN⁺ 2023-09-06
Avis Hacker News
  • Un commissaire de la FCC propose une réglementation sur les mises à jour de sécurité des objets connectés et échange avec la communauté Hacker News pour discuter et recueillir des retours.
  • La FCC recueille en ligne des commentaires officiels sur cette proposition jusqu’au 25 septembre. Tous les commentaires seront pris en compte dans la règle finale.
  • La discussion inclut des points de vue variés, notamment ceux d’ingénieurs firmware, qui soulèvent des questions sur la définition des failles de sécurité, les risques de sécurité potentiels des mises à jour à distance, ainsi que la responsabilité des fabricants pour les dommages causés par des attaques visant des appareils vulnérables.
  • Certains commentaires soulignent la hausse de la cybercriminalité liée aux objets connectés, en particulier dans les zones de conflit, ainsi que la possibilité que ces appareils soient utilisés pour de la surveillance illégale ou la coordination d’attaques.
  • Des inquiétudes existent quant aux difficultés rencontrées par les fabricants, en particulier les petites équipes, pour identifier les vulnérabilités et maintenir la sécurité, ainsi qu’au devenir des appareils s’ils cessent leur activité ou si leur site web est compromis.
  • Il est proposé que les objets connectés puissent fonctionner sans contact avec un service central et qu’il existe des règles imposant un niveau minimal de fonctionnalités dans des environnements isolés ou autogérés afin d’éviter les risques de sécurité inhérents.
  • Certains demandent que les fabricants assurent un support de leurs appareils pendant une durée minimale et, à la fin de ce support, publient l’intégralité du code source afin que les consommateurs puissent contrôler le firmware et éviter que les appareils deviennent inutilisables.
  • Des inquiétudes sont aussi exprimées quant à la capacité d’appliquer réellement la réglementation proposée, en particulier aux fabricants étrangers, avec la suggestion que les grandes plateformes IoT devraient auditer les appareils et interdire ceux qui ne respectent pas les critères.