Comprendre les vulnérabilités des objets connectés : l’inclusion de fichier

Au premier abord, le terme « inclusion de fichier » peut paraître évident à comprendre – car il décrit la capacité d’inclure un fichier – mais il s’agit en fait d’un vecteur d’attaque fréquemment utilisé par un intrus pour compromettre la sécurité d’un objet connecté. Dans la mesure où bien souvent les objets intelligents ne sont pas suffisamment protégés, les cybercriminels peuvent parfois en prendre le contrôle à distance en exploitant les vulnérabilités liées à la manière dont les applications associées se connectent à Internet.

Plus précisément, les objets connectés sont généralement reliés à une application qui permet aux utilisateurs de leur envoyer des commandes de n’importe où dans le monde. Cependant, lorsqu’il n’est pas chez lui, l’utilisateur ne partage pas le même réseau physique que l’objet avec lequel il veut communiquer. Cela veut dire qu’un tiers doit relayer ses instructions à l’objet connecté à Internet.

C’est là qu’interviennent les serveurs web. Ils peuvent être hébergés partout sur Internet, tout comme n’importe quel site uniquement accessible aux utilisateurs authentifiés, ou bien ils peuvent se trouver directement dans l’objet connecté à Internet. On peut comparer un serveur web à un intermédiaire de communication qui assure la transmission de commandes et d’informations entre un appareil connecté et un smartphone. Les applications associées aux objets sont conçues pour lire et envoyer des contenus vers et depuis ces serveurs web. Étant donné que les serveurs web se comportent à peu près comme tout autre site Internet, certains d’entre eux ne sont pas correctement configurés ou sécurisés. Les cybercriminels peuvent donc y trouver des failles et se faire passer pour l’application de l’utilisateur ou recueillir des données sensibles stockées sur le serveur.

Dans les cas les plus graves, ils peuvent même prendre à distance le contrôle de l’appareil en compromettant son serveur web pour le pousser à accomplir des actions malveillantes : entraîner le plantage de sites web ou compromettre d’autres objets sur le réseau (ordinateur portable, smartphone, etc.), par exemple.

L’inclusion de fichier désigne simplement la capacité de piéger le serveur web pour qu’il exécute un fichier indésirable fourni par l’attaquant sans vérifier sa validité. Un attaquant peut cibler l’adresse URL d’un serveur web et le piéger pour qu’il exécute des fichiers qui sont déjà stockés sur le serveur ou qu’il y charge des fichiers malveillants fournis par l’attaquant.

En cas d’inclusion de fichier local (local file inclusion, LFI) le serveur web peut révéler les identifiants et les mots de passe des utilisateurs ; ainsi que différentes configurations permettant à l’attaquant de prendre le contrôle et de modifier le serveur web qui commande l’objet connecté.

Supposons que le nom du serveur web est https://example.com. Une inclusion de fichier local se présenterait de la manière suivante : https://example.com/?module=/etc/passwd. La séquence « ?module=/etc/passwd » ajoutée à la fin de l’URL oblige le serveur web à révéler un fichier stocké en local qui contient tous les mots de passe des utilisateurs. Puisque le fichier se trouvait déjà sur le serveur web, l’attaquant n’a eu qu’à demander qu’il s’affiche.

Autre cas de figure, l’ inclusion de fichier distant (remote file inclusion, RFI) . Cette méthode permet à un attaquant de charger ses propres fichiers malveillants sur un serveur web et de forcer leur exécution. Dans ce genre de fichiers il peut par exemple inclure un malware conçu pour compromettre les appareils de l’utilisateur ; ou bien un malware destiné à compromettre le serveur lui-même de manière à prendre le contrôle de tous les objets qui y sont connectés.

Reprenons notre exemple : si l’attaquant envoie « https://example.com/?module=uploads/image.gif » au serveur web, le fichier « image.gif » sera automatiquement téléchargé sur le serveur, même si l’attaquant n’a pas été authentifié ou autorisé à télécharger quoi que ce soit. Un tel fichier pourrait contenir du code malveillant qui serait exécuté une fois stocké sur le serveur web.

Bien entendu, ces exemples illustrent seulement les capacités élémentaires d’une attaque par inclusion de fichier, mais les attaquants peuvent profiter de cette faille pour contrôler des dizaines, des milliers et même des centaines de milliers d’objets connectés à un même serveur web.

Il est crucial que les fabricants d’objets connectés contrôlent en permanence sécurité de leurs applications, appareils et objets qui hébergent des serveurs web afin de protéger la vie privée et la sécurité des utilisateurs. De leur côté les utilisateurs, lorsqu’ils achètent un objet intelligent, doivent privilégier les fabricants qui se sont dotés d’un programme solide de correction des vulnérabilités et se tenir informés en permanence de la sortie de nouvelles mises à jour de sécurité à installer sur leurs appareils.

L’utilisation d’une solution de sécurité intégrée pour le réseau domestique est également recommandée, car elle permet d’identifier des attaquants qui tentent de forcer les appareils à accomplir des actions malveillantes. Elle peut aussi immédiatement avertir les utilisateurs de la sortie des dernières mises à jour de sécurité, à installer dans les plus brefs délais pour empêcher les cybercriminels de nuire.