Les fabricants IoT confrontés aux défis de la politique de divulgation de vulnérabilités
Une échéance arrive pour les fabricants d'objets connectés grand public européens. Ils vont devoir mettre en place sur leur site, de manière claire, une politique de divulgation de vulnérabilité avec un point de contact public à partir du 29 avril 2024, pour ceux vendant au Royaume-Uni (loi PSTI) et à partir de l'entrée en vigueur du Cyber Resilience Act (CRA) pour les autres.
Cette politique de divulgation de vulnérabilité, appelée "vulnerability disclosure policy" (VDP) en anglais, est un espace, sur le site web, permettant à tout à chacun de remonter, via un point de contact, des vulnérabilités découvertes sur un objet connecté. Les failles peuvent être légion. En raison de leur nature connectée, la plupart des produits IoT constituent une cible facile pour les attaquants, qui y voient un moyen de créer des botnets. Pour l'heure, peu de fabricants français ont implémenté un VDP, d'après une étude du cabinet de conseil en cybersécurité Cetome, réalisée entre juin 2023 et janvier 2024. L'objectif de cette étude : observer ce qui se fait sur le marché français, alerter les fabricants des erreurs possibles et les sensibiliser aux bonnes pratiques pour améliorer la cybersécurité.
Un VDP inexistant ou peu accessible
Les quelques-uns qui s'y sont essayés ont été confrontés à une série de difficultés liées à des problèmes d'implémentation. L'un des plus récurrents est un VDP qui n'est pas directement accessible en pied de page du site mais se retrouve caché dans les mentions légales ou dans une page de FAQ. "Samsung par exemple a fait l'effort de créer une VDP, mais il faut déjà parvenir à trouver le bon lien, qui n'est pas en bas de page. Ce lien renvoie ensuite vers une autre page, qui renvoie elle-même vers des pages différentes selon les produits sur lesquels on veut communiquer. Ce n'est pas clair pour l'utilisateur", cite en exemple Cédric Levy-Bencheton, fondateur de Cetome. Certains VDP de fabricants sont même en mode privé pour ne pas partager ouvertement les vulnérabilités, ce qui est contraire à la réglementation. Le fabricant d'objets connectés de santé Withings n'a pas de politique de divulgation de vulnérabilités mise en place, il dispose d'un programme de Bug Bounty sur le site de YesWeHack.
Une incohérence sur les produits
Autre problème constaté par le cabinet de conseil : le VDP ne couvre parfois pas les produits ou est incohérent dans les références données. Cédric Levy-Bencheton a notamment remarqué cette anomalie chez le fabricant de systèmes de navigation GPS mobiles ou embarqué TomTom. "Le VDP existe bien, tout est clair et conforme, mais il permet de remonter des vulnérabilités sur l'infrastructure et non pas sur ses produits", indique-t-il. L'entreprise est loin d'être la seule dans ce cas.
Un fichier invalide
Un VDP doit indiquer une date d'expiration dans son fichier security.txt. Certains fabricants oublient de la mettre à jour, rendant invalide le processus, à l'image de Signify, entreprise spécialisée dans la conception et la production d'éclairage. "J'ai remarqué cette erreur et je leur ai signalé. Signify l'a corrigé en octobre 2023, leur VDP est à présent valable jusqu'en décembre 2024", raconte Cédric Levy-Bencheton.
Face à ces problèmes, Cetome a élaboré une liste de huit recommandations. Parmi elles : privilégier un formulaire web pour le reporting des vulnérabilités. "Il faut prendre le temps de créer les processus pour le bon fonctionnement d'un VDP. Le reste ne représente pas de challenge majeur", assure Cédric Levy-Bencheton. Un avis partagé par Clément Moreau, CEO de l'entreprise française de traceurs GPS Invoxia, qui est en train de mettre au point sa VDP. " Mettre en place une telle politique n'est pas en soit un souci, mais nécessite de se décider à l'avance sur ce que nous ferons des vulnérabilités remontées par les chercheurs en sécurité. Cela nécessite des ressources humaines pour répondre aux divulgations, et patcher le plus rapidement possible, mais aussi pour gérer la communication avec les chercheurs en sécurité, ainsi qu'un budget (raisonnable) pour rémunérer les divulgations."
L'harmonisation des politiques de divulgation de vulnérabilités est aussi conseillée pour éviter des erreurs d'incohérence. "Legrand et Netatmo ont d'excellentes politiques de cybersécurité mais elles sont différentes. La cybersécurité est perçue comme compliquée, cela ne sert à rien de rajouter de la complexité avec des règles distinctes, ce qui arrive souvent chez des fabricants qui ont des filiales", souligne Cédric Levy-Bencheton.
"En traitant le sujet de manière ouverte, les constructeurs gagneront et conserveront la confiance des utilisateurs"
Pour le fondateur du cabinet de conseil, mettre en place un VDP est d'autant plus important qu'il représente un atout sur le marché. "Sa mise en place demande peu d'effort et elle valorise le produit, en montrant que le fabricant prend ses responsabilités. Le fabricant Honeywell est ainsi perçu comme étant très bon en cybersécurité, ce qui accroît son image de marque." Un avis partagé par Clément Moreau, CEO d'Invoxia : "Nous pensons qu'en traitant le sujet de manière ouverte, les constructeurs gagneront et conserveront la confiance des utilisateurs." Selon le cabinet de conseil, qui accompagne plusieurs de ses clients dans la mise en place d'un VDP, un projet "met 6 à 18 mois de développement et le coût opérationnel d'un VDP, géré par une entité externe (après le lancement du projet), se situe entre 12 000 et 20 000 euros".
Si pour l'heure seuls les fabricants d'IoT grand public, dit consumer, sont concernés, les fabricants du marché BtoBtoC puis BtoB seront conduits à adopter la même démarche. "Indirectement, cela va devenir une obligation", assure Cédric Levy-Bencheton, qui voit poindre des règlements en ce sens avec la réglementation européenne NIS2. Mais la cybersécurité reste une opportunité. Et Clément Moreau de conclure : "Cette politique est une très bonne manière d'impliquer l'ensemble des équipes de développeurs sur les sujets de sécurité, pour éviter qu'ils ne soient traités de manière secondaire."