Comprendre les vulnérabilités des objets connectés : l’élévation des privilèges

Vous vous dites sans doute que vous contrôlez pleinement les objets connectés à votre réseau domestique, mais ce n’est pas toujours le cas. Dans un objet intelligent, il y a plusieurs niveaux d’accès qui accordent des droits pour la réalisation d’actions spécifiques. Les hackers savent que, même lorsqu’ils ont pénétré dans le système d’un objet connecté, il leur faut parfois un niveau d’autorisation supérieur pour effectuer les modifications qu’ils souhaitent. Le mécanisme qui consiste à lever de plus en plus de restrictions dans un système est ce qu’on appelle « l’élévation des privilèges ».

Une serrure connectée, par exemple, a plus d’un utilisateur, mais elle ne donne pas à chacun d’entre eux les mêmes permissions. La personne qui détient le compte administrateur peut recevoir des alertes lorsqu’un code valide est saisi pour entrer dans la maison. Cette personne a aussi la possibilité de révoquer, désactiver ou générer des codes d’accès. À l’inverse, les permissions données aux autres comptes peuvent être limitées à l’utilisation des codes de verrouillage/ déverrouillage et à la vérification du niveau de batterie de la serrure.

Les vulnérabilités d’élévation des privilèges sont des défauts de sécurité qui permettent à un utilisateur d’accéder à des ressources pour les examiner ou les modifier alors qu’il ne devrait normalement pas en avoir le droit. Si les hackers parviennent à prendre le contrôle d’un compte aux droits limités, ils peuvent exploiter ce type de bug pour effectuer des tâches comme s’ils avaient le statut d’administrateur ou même prendre la main sur l’appareil.

Concrètement, pour comprendre ce que peut provoquer un piratage suivi d’une élévation des privilèges, imaginez un voleur qui tente de passer les contrôles de sécurité dans un immeuble de bureaux. Il peut se faire passer pour un employé distrait qui a oublié son badge, ou tout simplement réussir à entrer sans se faire remarquer. Une fois dans les locaux, il a les mêmes permissions que tous les autres employés. Il peut se servir de la fontaine à eau, ou aller dans la cuisine pour se préparer un sandwich.

Il peut aussi essayer d’accéder aux zones dont les accès sont contrôlés – y compris celles marquées d’un panneau « Défense d’entrer » – tant qu’elles ne sont pas verrouillées ou protégées par des moyens qu’il ne peut pas contourner. Il aura alors le champ libre pour explorer ces pièces, pénétrer dans les ordinateurs de l’entreprise, modifier des documents et des rapports ou dérober des informations.

Les intrus peuvent procéder de la même manière sur un objet connecté et obtenir ainsi des droits leur permettant de prendre le contrôle du système. Bien souvent, l’élévation des privilèges va de pair avec l’exécution de code arbitraire, car les hackers ont habituellement besoin de droits pour exécuter des scripts ou des commandes dans le système ciblé.

L’installation des derniers correctifs sur l’ensemble des objets connectés au réseau domestique est un bon moyen de vous protéger. Pour savoir si des vulnérabilités connues sont présentes dans un de vos objets, pensez à Bitdefender Home Scanner : il peut identifier ces vulnérabilités et générer des rapports sur l’état de sécurité de l’objet. Grâce à Bitdefender BOX, en revanche, la protection est assurée en temps réel car cet appareil analyse le trafic sur le réseau et bloque les communications avec les adresses malveillantes.