Des intrus peuvent vous dérober des données informatiques en lançant des requêtes non autorisées

Les hackers disposent d’un vaste arsenal pour compromettre un appareil. Un grand nombre des méthodes employées consistent à s’attaquer au code qui le fait fonctionner plutôt qu’aux failles des systèmes de sécurité mis en place par les utilisateurs. Les intrus exploitent souvent les faiblesses de la programmation d’un appareil pour y accéder, en prendre le contrôle ou dérober les informations qu’il contient.

L’inclusion de fichier est un exemple de défaut de programmation : le système de l’appareil ne vérifie pas la validité des ajouts faits dans les applications web. Ainsi, il est possible d’accéder à des fichiers non autorisés ou de forcer le téléchargement de fichiers malveillants. Autrement dit, lorsqu’il sollicite une ressource provenant d’une application vulnérable à l’inclusion de fichiers, un hacker peut ajouter à sa requête une demande d’accès à des informations protégées ; ou bien de nouveaux fichiers malveillants.

Imaginez : quelqu’un qui souhaite consulter son dossier aux archives municipales dit à l’agent : « Pendant que vous y êtes, merci de me montrer également les informations confidentielles contenues dans le document X ». L’agent examine seulement la demande d’accès aux archives et ne vérifie pas si le demandeur a bien le droit de consulter ces informations confidentielles. Supposant que la demande est légitime, ils les ajoute donc au dossier qu’il remet au demandeur.

Autre scénario qui illustre l’inclusion de fichiers : quelqu’un se présente pour demander à ce que de nouvelles informations soient ajoutées aux archives municipales : « Bonjour, je viens vérifier certaines informations et je vous apporte des dossiers à ajouter à vos archives. » L’agent accède à la requête du demandeur sans vérifier si ce dernier est bien habilité à inclure de nouveaux fichiers dans les archives municipales.

En fonction des mesures de sécurité mises en place, l’inclusion de fichiers peut être utilisée de deux manières : en s’appuyant sur des fichiers locaux déjà disponibles permettant d’accéder à l’application web, ce qui peut donner lieu à la révélation d’informations confidentielles ; ou bien en téléchargeant à partir d’une source extérieure (à distance) des fichiers permettant au hacker d’installer des logiciels malveillants. Les risques liés à l’inclusion de fichier distant sont variés, de la prise de contrôle de l’application ciblée à la prise de contrôle de l’objet connecté.

L’utilisateur lui-même ne peut rien faire pour corriger ce défaut de sécurité. C’est aux développeurs d’ajouter à leurs codes les protections nécessaires pour filtrer les requêtes et interdire l’accès aux données protégées. Mais les utilisateurs doivent tout de même veiller à toujours installer les dernières mises à jour, et en particulier celles qui contiennent des correctifs liés à la sécurité des objets connectés.

Ils peuvent aussi s’équiper d’un logiciel qui les aide à déterminer si leur réseau est vulnérable et à quel niveau. Bitdefender Home Scanner évalue les objets connectés au réseau domestique et signale tous les risques de sécurité auxquels ils sont exposés. La Bitdefender Box est là pour assurer leur protection. Il s’agit d’un dispositif de sécurité pour réseaux domestiques qui analyse le trafic et empêche les connexions à des adresses malveillantes.