Comprendre les vulnérabilités des objets connectés : le dépassement

Ce type de vulnérabilité, appelé aussi dépassement de mémoire tampon, exploite des failles du logiciel d’un appareil connecté et permet aux cybercriminels de perturber le fonctionnement de ce logiciel ou de l’application. Les attaquants étudient longuement le code du logiciel pour pousser l’application à se comporter de manière imprévisible, à produire des résultats corrects, à planter ou même à forcer les barrières de sécurité du système.

Avant d’aller plus loin, il est important de comprendre comment les ordinateurs attribuent un certain espace de mémoire aux différentes tâches qu’ils doivent réaliser, des calculs élémentaires à la réception d’informations en provenance du monde extérieur. Pour pouvoir stocker ces informations dans la mémoire, le système d’exploitation prévoit un « tampon », un espace d’une longueur précise.

Ces tampons sont déployés comme une sorte de guirlande dans la mémoire de l’ordinateur, car les multiples applications qu’il regroupe attribuent plusieurs tampons à leurs différentes tâches. Si un hacker parvient à transmettre plus d’informations que ce qu’un tampon peut accueillir, les données en trop débordent et écrasent le contenu du tampon voisin. Alors, lorsque le programme dont dépend le tampon voisin essaye d’y accéder, il y trouve des instructions différentes qui pourraient détourner les fonctions premières du programme. Il suffit au hacker de repérer une vulnérabilité pour remplir cet espace mémoire d’un tampon malveillant qui contient les bonnes instructions au bon endroit.

La mise en place de tampons malveillants peut prendre de multiples formes. Lorsque vous utilisez un objet connecté, vous passez par l’application mobile fournie avec pour vous connecter à votre compte et envoyer des instructions à l’objet. Vous devez habituellement saisir un nom d’utilisateur et un mot de passe afin de vous authentifier avant de pouvoir vous connecter à l’appareil. Si, pour une raison ou une autre, les champs du formulaire de connexion s’attendent à recevoir un mot de passe d’une longueur précise mais n’en vérifient pas les limites, les attaquants pourraient en profiter pour envoyer des commandes aléatoires ou des chaînes de caractères trop longues à l’appareil.

Celui-ci n’étant pas capable d’interpréter cette longue séquence de caractères, l’application d’authentification risque de planter ou d’afficher des informations sensibles. Dans certains cas, en fonction de la longueur de cette séquence de caractères ou de son contenu, les hackers peuvent même violer la sécurité de l’appareil en faisant croire à l’application que la tentative de connexion a réussi. Les requêtes malformées adressées aux API du serveur web peuvent avoir les mêmes effets.

Le dépassement de mémoire tampon est une vulnérabilité qui peut avoir des conséquences graves sur le logiciel et entraîner la compromission totale d’un objet connecté. Les analystes de Bitdefender ont signalé des vulnérabilités de ce type dans des caméras intelligentes connectées à Internet, qui auraient permis à des personnes mal intentionnées de prendre à distance le contrôle de centaines de milliers d’appareils dans le monde. Détecter les failles qui permettent ces corruptions de mémoire d’un genre un peu particulier demande une connaissance approfondie du code informatique ; mais pour les cybercriminels le jeu en vaut la chandelle car elles ont un très grand potentiel.

En tirant profit de ces vulnérabilités dans des appareils connectés appréciés et très répandus, les hackers pourraient espionner leurs victimes à distance, recueillir des informations personnelles ou même utiliser les appareils dont ils ont pris le contrôle pour lancer d’autres attaques, telles qu’un déni de service.

Puisqu’il s’agit de vulnérabilités ayant pour origine un défaut de programmation, le seul moyen de s’en protéger consiste à installer systématiquement les dernières mises à jour de sécurité et les derniers correctifs. Les fabricants d’objets connectés devraient proposer des mises à jour de sécurité et des correctifs à chaque fois que ce type de vulnérabilité est signalé, afin de garantir la sécurité des appareils et des données de leurs clients.

Il est également conseillé aux utilisateurs de s’équiper d’une solution de cybersécurité pour leur réseau domestique, capable de détecter d’éventuelles vulnérabilités sur leurs appareils et de les avertir dès la sortie d’une nouvelle mise à jour de sécurité. Elle peut aussi évaluer l’état général de tous les appareils connectés au réseau tout en tenant les cybercriminels à distance.