Comprendre les vulnérabilités des objets connectés : l'attaque XSS par injection de code

Parmi toutes les méthodes qu’ils peuvent utiliser, les hackers choisiront toujours la plus simple. Pourquoi se compliquer la tâche en utilisant des techniques compliquées pour pénétrer des systèmes ou des infrastructures web quand des contrôles insuffisants et des redirections rendent possible l’exécution de scripts malveillants ?

Le cross-site scripting, ou XSS, est une vulnérabilité des applications web qu’un attaquant peut exploiter pour ajouter du code dangereux à un lien autrement bénin. Lorsqu’un utilisateur clique sur le lien, le site légitime reçoit à la fois la requête inoffensive et le script malveillant. Le site envoie alors une réponse à la requête originale en incluant le script de l’attaquant, qui est exécuté par le navigateur web local car il provient d’une source de confiance. Une attaque XSS réussie n’alerte pas l’utilisateur ; et elle peut donner lieu au piratage des comptes web, à l’usurpation des sessions web, à la prise de contrôle du navigateur à distance ou encore des redirections vers des sites malveillants. Mais les ennuis ne s’arrêtent pas là.

Pour transposer le scénario d’une attaque XSS dans le monde réel, imaginez une entreprise : Bob, le dirigeant, demande à Mark, son assistant, de lui apporter le document récapitulant les salaires des employés pour le mois en cours. À l’insu de Bob, Mark a créé le document et s’est octroyé une prime de 20 %. Bob signe le document sans le vérifier et demande à Mark de le transmettre au service financier. Quand arrive le jour de paye, Marc obtient sa « récompense » car le document a été traité sans aucun contrôle.

Les navigateurs web ont mis en place des mécanismes de lutte contre les attaques XSS, et des extensions garantissent un certain niveau de protection contre ce type de vulnérabilité, mais cela ne garantit pas une défense infaillible. En définitive, la correction des vulnérabilités XSS revient aux développeurs qui conçoivent des sites et des applications web. Même si elles existent depuis 10 ans, les attaques XSS restent fréquentes.

Les serveurs de stockage en réseau (NAS), les routeurs, les enregistreurs vidéo, les caméras IP et les enceintes intelligentes ne sont que quelques-uns des objets connectés qui peuvent y être vulnérables. L’une des règles d’or à suivre consiste à installer la dernière version du micrologiciel de chaque appareil.

Des produits tels que Bitdefender Home Scanner informent les utilisateurs sur les vulnérabilités connues des appareils connectés au réseau domestique. Ils peuvent alors s’appuyer sur ces renseignements pour sécuriser leurs appareils ou pour obtenir auprès du vendeur un correctif qui résout les problèmes signalés.

Une protection active des objets connectés peut être assurée par Bitdefender BOX, un appareil qui contrôle le trafic sur le réseau domestique et empêche toute activité malveillante. Il est capable de reconnaître les requêtes de redirection vers les sites douteux ou les applications de phishing, quel que soit l’objet connecté qui initie la communication.