211service.com
Le danger des failles de la base de données Web
La semaine dernière, les procureurs fédéraux inculpé Albert Gonzalez , un homme déjà accusé d'avoir volé près de 100 millions de comptes de cartes de crédit et de débit au détaillant TJX, pour avoir prétendument travaillé avec trois autres personnes pour pirater cinq autres sociétés. Gonzalez et ses acolytes auraient volé au moins 130 millions de comptes de cartes de crédit et de débit supplémentaires.
Dans chaque cas, la compromission initiale a eu lieu via le site Web de la victime en utilisant une technique, connue sous le nom d'injection SQL, dont on parle rarement en dehors des cercles de sécurité informatique.
L'attaque tire parti des composants du site Web qui permettent la saisie par l'utilisateur, tels que les champs de recherche et les pages de connexion. Si l'application Web ne vérifie pas adéquatement la validité de la chaîne de caractères, un attaquant peut saisir une chaîne spécialement formatée qui, une fois traitée, sera convertie en une commande de base de données. Étant donné que la plupart des bases de données Web utilisent le langage de requête structuré, ou SQL, l'attaque est connue sous le nom d'injection SQL.
Il s'agit d'une menace de niveau moyen que le reste de l'industrie a ignorée pendant si longtemps, que les attaquants ont réalisé qu'il s'agissait d'un champ grand ouvert, a déclaré Dan Holden, chef de produit pour l'équipe de recherche sur les vulnérabilités X-Force d'IBM.
Étant donné que les développeurs Web ne sont généralement pas des programmeurs et que la plupart des programmeurs ne sont pas suffisamment formés aux pratiques de sécurité, les applications en ligne sont truffées de défauts d'injection SQL.
Big Blue a vu le nombre d'attaques par injection SQL doubler du premier au deuxième trimestre 2009. Au cours des dernières années, les vulnérabilités qui permettent l'injection SQL ont occupé l'une des trois premières places de la liste annuelle des failles. L'année dernière, environ 20 % des 5 600 vulnérabilités sont entrées dans le Base de données nationale sur la vulnérabilité étaient liés à l'injection SQL.
Les développeurs travaillent dans des langages de programmation de haut niveau et on ne leur apprend tout simplement pas à gérer les vulnérabilités, dit Holden. Les bogues et les vulnérabilités surviennent parce que les gens font des erreurs, et ce sont les gens qui programment les applications.
Soulignant le danger, la société de sécurité ScanSafe a annoncé cette semaine qu'elle avait trouvé près de 100 000 pages Web qui avaient été compromises à l'aide d'une attaque par injection SQL pour inclure du code malveillant.
C'est comme s'il avait atteint la puberté, dit Holden. L'injection SQL a commencé à prendre tout son sens.