Comprendre les vulnérabilités des objets connectés : les hackers savent piéger les objets connectés

Les intrus n’ont pas toujours besoin de méthodes compliquées pour compromettre les appareils connectés à votre réseau domestique. Parfois, pour accéder à des informations, il suffit de bien formuler sa demande. C’est exactement ce en quoi consiste une injection SQL.

Malgré ce nom compliqué, le SQL (Structured Query Language) est simplement une méthode de gestion des entrées dans une base de données accessible depuis une interface web (comme les consoles d’administration qui permettent de gérer la plupart des objets connectés). Un hacker va chercher à pénétrer dans ces bases de données qui contiennent des informations sensibles telles que des noms d’utilisateur, des mots de passe et des permissions ; pour les modifier ou s’en servir pour entrer dans votre périmètre virtuel. C’est une étape supplémentaire vers le piratage des autres objets connectés et, en définitive, la prise de contrôle du réseau tout entier.

Une attaque par injection SQL fonctionne lorsque le hacker parvient à se faire passer pour un utilisateur autorisé à exécuter un ensemble limité de requêtes : il lui suffit alors d’ajouter à une requête valide de nouvelles instructions qui seront également exécutées. Imaginez un robot dont la fonction est de gérer des marchandises stockées dans une pièce verrouillée. Il est capable de faire plus de choses, mais son rôle se limite à l’exécution d’un certain nombre d’actions précises : déplacer des cartons, les sortir, dresser un inventaire du contenu de l’entrepôt, etc. Cependant, si un utilisateur lui envoie une requête lui ordonnant de tout casser, il ne saura pas faire la différence et obéira.

Les risques associés à ce type d’attaque sont graves : les hackers peuvent piéger une application web pour qu’elle valide l’authentification même si le mot de passe est incorrect, qu’elle supprime ou ajoute d’autres utilisateurs, ou qu’elle modifie leur niveau d’autorisation. Une fois que les hackers ont pénétré dans votre réseau, ils ont l’embarras du choix pour tirer un profit financier de vos données.

C’est au développeur de l’application web que revient la tâche d’éliminer définitivement le risque d’injection SQL. En tant qu’utilisateur vous n’avez aucun moyen de résoudre le problème, mais puisque vous savez qu’il existe vous pouvez au moins prendre quelques mesures pour protéger vos données. Si une vulnérabilité qui a été révélée au public est détectée sur un objet connecté à votre réseau, Bitdefender Home Scanner fera apparaître une alerte sur votre ordinateur et vous proposera des moyens de réagir.

Bitdefender BOX est une autre solution sophistiquée capable de protéger les appareils connectés à votre réseau. Il s’agit d’une application de sécurité au design minimaliste qui analyse le trafic entrant et sortant sur votre réseau domestique et bloque les connexions vers et depuis des adresses mal réputées.

Les spécialistes de la sécurité recommandent de se tenir informé de la sortie de mises à jour micrologicielles pour les objets connectés à votre réseau, qui doivent être installées dans les plus brefs délais. Les moyens de défense complémentaires ne peuvent pas faire de mal, mais dans ce cas c’est une modification du code de l’application qui produit les meilleurs résultats.