Comprendre les vulnérabilités des objets connectés : directory traversal

Face à l’immense quantité d’objets connectés actuellement utilisés à travers le monde, des spécialistes de sécurité ont à plusieurs reprises fait part de leur inquiétude concernant la sécurité de ces appareils et la facilité avec laquelle les cybercriminels peuvent parfois nuire à la vie privée des utilisateurs, accéder à des données sensibles ou même prendre le contrôle d’un réseau domestique tout entier.

Dans l’arsenal des hackers se trouve une vulnérabilité appelée directory traversal. Elle touche le serveur web sur lequel les utilisateurs se connectent via une application mobile pour envoyer des instructions aux objets intelligents, de n’importe où dans le monde. Étant donné que les serveurs web jouent un rôle essentiel dans la gestion des objets connectés, les cybercriminels peuvent les compromettre et ainsi accéder à des informations sensibles concernant les utilisateurs, ou encore prendre à distance le contrôle des appareils qui s’y connectent.

Toutefois, dans certains cas, le serveur web est directement installé dans l’objet connecté à Internet. Cela signifie que si l’attaquant parvient à trouver l’adresse IP de cet appareil, il peut exploiter la vulnérabilité directory traversal sur celui-ci, ce qui revient de fait à le compromettre à distance.

Un directory traversal est un exploit HTTP qui permet aux attaquants d’obtenir un accès non autorisé aux répertoires, aux fichiers et même aux commandes qui, en temps normal, sont réservés aux utilisateurs. Par exemple, les utilisateurs moyens devraient seulement pouvoir accéder aux informations contenues sur le répertoire racine du serveur web, qui concernent des pages web et ne sont pas de nature sensible.

Une attaque de type directory traversal est généralement lancée par l’intermédiaire des navigateurs web en manipulant l’URL (c’est-à-dire l’adresse web) à l’aide d’une séquence de caractères spéciaux telle que « ../ » de façon à contourner les filtres de sécurité et accéder à d’autres répertoires et à des fichiers se trouvant ailleurs que dans le répertoire racine.

Par exemple, lorsque des utilisateurs se rendent sur le site www.example.com/index.html, ils voient la page d’accueil du domaine, représentée par le fichier « index.html ». Ce fichier – comme toutes les autres pages du site – est stocké dans le répertoire racine du serveur web. Si le serveur web est vulnérable à une attaque de type directory traversal, un hacker pourrait sortir du répertoire racine et accéder aux autres répertoires du serveur en tapant dans la barre d’adresse de leur navigateur quelque chose comme www.example.com/../../../etc/passwd. Il verrait s’afficher le fichier contenant les mots de passe sur le serveur, alors que ces informations devraient rester confidentielles.

La séquence « ../ » est habituellement utilisée pour passer au dossier parent supérieur, ce qui permet à l’attaquant d’explorer l’arborescence du serveur web à la recherche de fichiers sensibles. D’autres séquences d’échappement telles que « %2e%2e/ », « %2e%2e%2f », « ..%2f » ou « %2e%2e%5c » peuvent également être utilisées car le serveur web les interprète généralement comme la séquence « ../ ».

Une attaque de type directory traversal nécessite souvent plusieurs essais, car les cybercriminels ne connaissent pas à l’avance la structure de l’arborescence du répertoire. Par exemple, pour accéder à des fichiers sensibles, ils sont parfois obligés d’explorer plusieurs répertoires en partant de la racine.

Imaginez que vous entrez dans un immeuble et que vous devez passer par un long couloir, avec des portes de chaque côté, pour atteindre l’appartement 17 dans lequel un ami vous attend. L’entrée dans l’immeuble se fait sans aucun contrôle et, puisque vous savez que vous devez vous rendre dans l’appartement 17, vous ne prenez pas le temps de savoir si les appartements 1 à 16 sont verrouillés ou occupés. À l’inverse, les cybercriminels se donnent cette peine. Tout en sachant que l’appartement 17 est celui qu’ils veulent atteindre (et dans lequel ils ont le droit d’aller), ils vont tenter leur chance en toquant aux portes et en essayant de les ouvrir tout le long de leur chemin. Et bien évidemment, si ces portes ne sont pas bien fermées, ils n’hésiteront pas à rentrer pour fouiller et s’emparer des objets de valeur.

La protection contre ce type d’attaque consiste à valider l’URL reçue sur le serveur web avant de l’exécuter. Les fabricants d’objets connectés hébergeant les serveurs web qui permettent la communication avec ces objets doivent veiller à bloquer les URL qui contiennent des commandes ou des séquences d’échappement afin d’empêcher l’exécution d’attaques de type directory traversal. L’installation des dernières mises à jour logicielles et des correctifs est aussi une pratique de sécurité à recommander, car parfois ils sont justement conçus pour protéger contre ces attaques.

Puisque cette vulnérabilité ne touche pas précisément les objets connectés mais se situe au niveau du serveur web, les utilisateurs ne peuvent pas faire grand-chose pour sécuriser leurs appareils. Ils doivent toutefois rechercher fréquemment les mises à jour de sécurité disponible pour leurs appareils et les applications qui vont avec, car elles contiennent parfois des moyens de traiter cette vulnérabilité. En outre, ils ont tout intérêt à se doter d’une solution de cybersécurité pour leur réseau domestique, qui recherche en permanence les vulnérabilités de leurs objets connectés et les avertit immédiatement de la sortie d’une nouvelle mise à jour de sécurité.