D-Link a accepté d'améliorer la sécurité de ses systèmes dans le cadre du règlement FTC
Le procès de 2017 de la Federal Trade Commission (FTC) des États-Unis contre D-Link a finalement pris fin. Les autorités américaines ont accusé le célèbre fabricant taïwanais de matériel de réseau de ne pas protégeant adéquatement ses appareils et ignorant les avertissements de la vulnérabilité logicielle la plus critique rapports.
Selon la plainte originale publiée en 2017, D-Link a échoué à plusieurs reprises :[1]
Les défendeurs n'ont pas pris de mesures raisonnables pour protéger leurs routeurs et IPcaméras contre les risques largement connus et raisonnablement prévisibles d'accès non autorisé, y compris en omettant de protéger contre les failles classées par l'Open Web Application Security Projectparmi les vulnérabilités d'applications Web les plus critiques et les plus répandues depuis au moins 2007.
Les actions du fabricant de matériel ont mis en danger la vie privée et la sécurité en ligne de millions de citoyens américains, car les utilisateurs de routeurs et de caméras dans tout le pays étaient vulnérables aux cyberattaques.
Le principal fabricant d'IoT a été accusé d'avoir utilisé des informations d'identification codées en dur et facilement devinables dans son logiciel de caméra, affirmant que le matériel était entièrement sûr. contre les intrusions non autorisées et le stockage des informations de connexion à l'application mobile en texte clair, en plus de ne pas sécuriser les appareils contre les vulnérabilités.
En conséquence, D-Link a accepté de mettre en œuvre de nouvelles mesures de sécurité, ainsi que d'inclure les modifications nécessaires à sa fabrication, à sa documentation, à ses tests de sécurité et à d'autres processus.
Le programme complet de sécurité logicielle durera 20 ans
Afin de remédier à la situation, D-Link a été contraint d'accepter de nombreuses conditions fixées par la FTC, notamment l'adhésion au programme de sécurité logicielle qui doit durer au moins 20 ans :[2]
IL EST ORDONNÉ que le défendeur doit, pendant une période de vingt (20) ans après l'entrée de la présente ordonnance, continuer ou établir et mettre en œuvre, et maintenir, un logiciel complet de sécurité programme (« Programme de sécurité logicielle ») conçu pour protéger la sécurité de ses Appareils couverts, à moins que le Défendeur ne cesse de commercialiser, de distribuer ou de vendre tout Produit couvert. Dispositifs.
Certaines des nouvelles responsabilités du fabricant IoT incluent :
- Établir des employés dévoués qui maintiennent, évaluent et rédigent le contenu du programme au fil des ans ;
- Planification des processus de sécurité et test des vulnérabilités des logiciels avant la sortie de nouveaux appareils ;
- Effectuer une évaluation des menaces pour identifier les risques internes et externes liés au logiciel à l'intérieur des appareils fabriqués par l'entreprise ;
- Configuration des mises à jour automatiques du firmware ;
- Formation continue pour les employés et les fournisseurs responsables du développement et de la révision des logiciels pour le matériel produit, etc.
De plus, D-Link a également accepté de se soumettre à des audits approfondis tous les deux ans pendant les dix prochaines années afin d'obtenir la certification de conformité en matière de sécurité. La documentation de ces audits doit également être fournie à la Federal Trade Commission des États-Unis pour les cinq prochaines années.
D-Link a adopté les changements et a accepté le règlement
Il est clair que le D-Link n'a pas réussi à protéger ses appareils, ainsi que de nombreux utilisateurs contre les cyberattaques, et, au cours des 2,5 dernières années, les cybercriminels ont largement abusé des dérapages du fabricant.
En juin de l'année dernière, les auteurs du botnet Satori ont réussi à exploiter une faille critique d'exécution de code dans les appareils D-Link utilisés par Verizon et d'autres utilisateurs de FAI.[3] En juillet 2018, les acteurs malveillants ont réussi à voler le certificat de sécurité fourni par D-Link, ce qui leur a permis de diffuser des logiciels malveillants sur des milliers d'appareils.[4] En conséquence, les pirates pourraient voler des mots de passe et contrôler l'appareil à distance via la porte dérobée.
D-Link était d'accord avec le règlement, car John Vecchione, PDG et avocat principal de D-Link, a exprimé les réflexions suivantes :[5]
Cette affaire aura un impact durable et, nous l'espérons, façonnera positivement la politique publique dans les domaines importants de la technologie, de la sécurité des données et de la confidentialité. Le rejet par la Cour de l'allégation « d'injustice » de la plainte pour défaut de plaider un préjudice réel pour le consommateur recentrera, espérons-le, les efforts de la FTC sur les pratiques qui blessent réellement des consommateurs identifiables, offrant aux entreprises technologiques une certitude supplémentaire nécessaire pour innovation.