La CSA (Connectivity Standards Alliance) ajoute une corde de plus à son arc décidément de plus en plus chargé. L’alliance qui est déjà à l’origine de Matter, le standard de domotique qui s’impose progressivement dans l’industrie, annonce en effet un nouveau standard, cette fois pour certifier la sécurité des appareils connectés. Joliment nommé « IoT Device Security Specification 1.0 », ce standard définit des règles de sécurité que les constructeurs d’appareils peuvent respecter et recevoir, s’ils en font la demande, une certification. Un nouveau logo servira par ailleurs à identifier les produits qui respectent le standard.
Ce nouveau standard définit plusieurs règles que les accessoiristes qui souhaitent l’utiliser doivent respecter. Chaque appareil certifié doit avoir un identifiant unique, il ne doit pas contenir de mot de passe prédéfini dans sa mémoire, les données stockées localement doivent l’être de manière sécurisée, de même que pour les données sensibles transmises par l’appareil. D’autres critères sont également prévus, comme un processus de mise à jour sécurisé ou encore une documentation qui précise notamment la durée de prise en charge de l’appareil.
En respectant les règles du standard, le constructeur du produit pourra automatiquement bénéficier de certifications locales de sécurité dans le monde. La première version du standard respecte ainsi les critères des États-Unis, de l’Union européenne et de Singapour, même si l’objectif à terme est bien de couvrir le monde entier. Avant cela, les fabricants devaient respecter des procédures spécifiques pour chaque marché, ce qui alourdit logiquement le processus de certification.
Le standard s’adresse aussi aux clients, qui pourront vérifier grâce au logo de la CSA si le produit qu’ils visent est certifié. Ce logo nécessitera d’obtenir en amont la certification, un processus qui passera par la vérification du respect des règles établies pour le standard. Les premiers produits certifiés devraient commencer à apparaître d’ici à la fin de l’année, d’après l’alliance. Sachant que la certification n’est pas réservée aux nouveaux produits, les constructeurs peuvent la demander pour leur catalogue actuel s’ils le souhaitent. La majorité des catégories de produits connectés utilisés en domotique peuvent être sécurisés par ce biais, des caméras de sécurité aux thermostats en passant par les ampoules ou autres interrupteurs.
À noter que l’on parle bien de sécurité contre une attaque, pas de protection des données confidentielles. Un constructeur peut toujours vous espionner grâce à un appareil de domotique tout en affichant le logo de la CSA. Comme le rapporte The Verge qui a interrogé plusieurs acteurs du domaine, c’est un premier pas dans la bonne direction, mais il s’agit d’assurer le strict minimum en matière de sécurité. C’est d’ailleurs pour cette raison que la première version diffusée cette semaine ne sera pas la dernière, l’alliance compte la mettre à jour au fil du temps, notamment pour renforcer les contraintes imposées aux constructeurs.
Même si la CSA gère aussi Matter, il n’y aura pas de lien systématique entre les deux standards. Pour le dire autrement, un produit Matter ne devra pas obligatoirement arborer le logo vérifié lié au standard de sécurité, tandis qu’un constructeur pourra au contraire obtenir le label pour un produit, même s’il n’est pas compatible Matter.
