Comprendre les vulnérabilités des objets connectés : l’onglet de navigateur mal intentionné

Internet, c’est bien plus que des services faciles à utiliser et des sites web attrayants et bien agencés. Dans l’ombre, un code automatise vos interactions, autorise vos connexions et valide vos requêtes. Ce mécanisme sous-jacent devient encore plus complexe quand plusieurs services s’exécutent dans un même environnement, comme par exemple lorsque plusieurs onglets donnant accès à des destinations différentes sont ouverts dans un seul navigateur.

Les fournisseurs de services ne vérifient pas toujours correctement la légitimité d’une requête et cela peut exposer les utilisateurs à un type d’attaque appelé cross-site request forgery (CSRF), ou injection de requêtes illégitimes par rebond. Cette attaque s’appuie sur la capacité d’un site à adresser une requête à un autre site ou à une application web. Cela fonctionne comme un transfert d’appel, dans lequel la connexion entre l’émetteur et le destinataire passe par un autre téléphone. Mais dans le cas d’une attaque CSRF, la source originale n’est pas indiquée au destinataire et la requête semble provenir du site web légitime, qui ne fait qu’assurer la liaison.

Pour rester dans les comparaisons simples, imaginez un hôtel dont le système de communication défectueux permet aux appels de passer par n’importe quelle chambre avant d’atteindre la réception. Un escroc pourrait profiter de cette faille pour joindre le concierge en faisant transiter son appel par une autre chambre. Il se ferait alors passer pour l’occupant de la chambre en question et pourrait commander des services qui seraient ensuite facturés à sa victime.

Un exemple bien connu illustre la puissance d’une telle attaque : un service de banque en ligne tient le rôle de la cible et reçoit une fausse demande de transfert de fonds d’une victime qui est déjà connectée à son compte. Sans protection adéquate contre les attaques CSRF, le transfert passe complètement inaperçu lorsque la victime clique sur le lien qui charge le code pour la commande de transfert de fonds.

Les attaques CSRF ne sont pas un problème pour les sites et les services en ligne qui appliquent des mesures de sécurité standard, mais la méthode peut se révéler plutôt efficace contre des objets connectés configurables via un navigateur. De nombreux produits – routeurs, serveurs de stockage en réseau (NAS), boîtiers multimédia, caméras IP, enregistreurs vidéo, etc. – ne sont pas à l’abri de ce type d’attaque. Une victime peut être incitée à se rendre sur une page web qui va reconfigurer l’appareil vulnérable, que le hacker pourra donc utiliser à son avantage.

D’ordinaire, les utilisateurs n’ont aucun moyen de savoir si des modifications autorisées ont été effectuées ou si leurs appareils sont vulnérables, de manière à pouvoir prendre des mesures préventives. Pour la plupart d’entre eux il est également difficile de se tenir informé des dernières actualités du monde de la sécurité informatique. Mais ils peuvent faire appel à un outil spécialisé comme Bitdefender Home Scanner, qui est capable de dresser la liste des vulnérabilités connues des appareils connectés au réseau et facilite donc les actions défensives, comme l’installation d’une mise à jour du micrologiciel pour résoudre le problème.

Interdire les connexions à des sites malveillants est l’une des fonctions de Bitdefender BOX, un appareil qui peut protéger tous vos objets connectés. La BOX recherche activement les faiblesses liées à la sécurité du réseau et vérifie qu’aucune connexion ne mène à des sites peu recommandables. Elle est spécialement conçue pour protéger les objets connectés au réseau domestique.