Comprendre les vulnérabilités des objets connectés : le HTTP Response Splitting

Selon les estimations, il y avait en 2017 plus de 8 milliards d’objets intelligents connectés à Internet. Les spécialistes de la sécurité ont souvent exprimé leurs inquiétudes car ces objets sont vulnérables, susceptibles d’être contrôlés à distance par des attaquants et même de nuire à la vie privée des utilisateurs. Ces vulnérabilités sont plus ou moins complexes, mais leurs résultats sont généralement similaires : les cybercriminels prennent la main sur les objets connectés vulnérables pour accéder à vos données et à vos fichiers personnels ; ou bien encore pour infecter les autres appareils qui se trouvent sur le même réseau.

Le terme HTTP Response Splitting (que l’on pourrait traduire en français par « fractionnement de la réponse HTTP ») paraît intimidant et très technique de prime abord, mais il s’agit en fait d’un concept assez simple.

Imaginez que vous faites la queue dans une cafétéria. Quand arrive votre tour, vous demandez à la serveuse de la purée. Tout à coup, l’homme qui se trouvait derrière vous commence à parler à la serveuse de sandwichs au beurre de cacahuète, en disant que c’est ce que tous les clients rêvent de manger. La serveuse n’étant pas très attentive, vous vous retrouvez avec des sandwichs au beurre de cacahuète dans votre assiette alors que ce n’est pas ce que vous aviez commandé.

L’autre client et vous demandiez des plats se trouvant au menu, mais comme la serveuse n’a pas su faire la différence entre une blague et une vraie demande, elle sert des sandwichs au beurre de cacahuète à tout le monde.

Puisque dans la plupart des cas le contrôle d’un objet connecté passe généralement par une application mobile et une interface utilisateur, les commandes destinées à l’appareil ne vont pas directement de l’application mobile à l’appareil.

Par exemple, pour dire à un aspirateur connecté d’aller à droite ou à gauche il faut utiliser une application qui va « parler » à Internet – ou en l’occurrence à un serveur web installé dans l’appareil lui-même – qui va ensuite « relayer » la commande à l’aspirateur. C’est ainsi que les utilisateurs peuvent contrôler un aspirateur connecté de n’importe où. Plus besoin d’être à la maison ou sur le même réseau, ils peuvent même être à l’autre bout du monde.

Les avantages sont évidents, mais il y a aussi un inconvénient : les serveurs web ne sont pas toujours aussi sécurisés qu’ils le devraient.

Le HTTP Response Splitting se déroule un peu comme notre scénario d’incident à la cafétéria. Les serveurs web savent généralement comment répondre à une requête spécifiquement formatée. Pour reprendre notre comparaison, ils savent servir les plats qui se trouvent au menu. Cependant, parce qu’ils ne font pas le tri entre les requêtes, ils peuvent être amenés à exécuter une commande malveillante si elle est « emballée » comme une demande légitime. Et alors, les réponses fournies à tous ceux qui demandent des informations à ce serveur web peuvent être « empoisonnées » – dans notre exemple, la serveuse a donné des sandwichs au beurre de cacahuète à tous les clients.

Les attaquants peuvent exploiter ces vulnérabilités HTTP pour forcer les serveurs web à rediriger les utilisateurs vers des pages web malveillantes, à révéler des informations de connexion ou même à se connecter à distance à un appareil. Dans la mesure où la plupart des fabricants s’appuient sur des serveurs web basés sur Internet pour permettre le contrôle des objets connectés depuis n’importe quel endroit du monde, ces vulnérabilités donnent aux cybercriminels les moyens de compromettre tous les objets connectés aux serveurs web vulnérables.

Il est donc essentiel de veiller à ce que les dernières mises à jour et les derniers correctifs soient systématiquement installés sur vos appareils, qui doivent être connectés à un réseau domestique dédié – et non à celui sur lequel se trouvent vos ordinateurs portables, vos smartphones ou vos tablettes. Il est également recommandé de déployer une solution de sécurité pour les réseaux domestiques, capable de détecter toute menace entrante et d’analyser vos appareils pour y rechercher d’éventuelles vulnérabilités.