Faille de sécurité CWE-89 – SQL Injection

Home / Sécurité / Réparation des Failles de Sécurité / Faille de sécurité CWE-89 – SQL Injection

Description:

Les attaques de type SQL Injection (CWE-89) consistent en l’exploitation d’une faille de sécurité liée à la façon dont l’application web/site internet se connecte à une base de donnée. Avec un mauvais contrôle sur l’échappement des caractère entrés par l’utilisateur, l’application web peut exécuter sans que cela soit prévu du code inséré par l’utilisateur.

Conséquences:

En exécutant les requêtes SQL entrées par n’importe quel utilisateur, l’application web expose la base de donnée à laquelle elle est connectée et toutes les informations qui s’y trouvent. Un pirate informatique peut alors modifier / récupérer / supprimer toutes les informations auxquelles l’application web à accès.

Exploitations historiques SQL Injection :

  • En juin 2011, un groupe d’adolescents est accusé d’une attaque par injection SQL sur le site de Sony.
    Les mots de passe et informations personnelles de plus d’un million de clients sont volées et vendues au marché noir.
  • En juillet 2012, Yahoo annonce avoir été victime d’une attaque par injection SQL et avoir exposé les informations confidentielles de près d’un demi million de leurs clients.
  • Le 16 janvier 2014, Orange France Telecom est victime d’une attaque par injection SQL, les pirates dérobent les informations confidentielles de près d’un million de leurs clients.

Exemple d’une exploitation SQL Injection :

Pierre est chef d’entreprise, il s’occupe d’une agence immobilière et son site internet présente une faille de sécurité de type CWE-89 permettant une injection SQL.
Un pirate informatique exploite cette faille de sécurité, il injecte un code SQL pour se connecter à la base de donnée de l’agence immobilière, il commence par se créer un identifiant administrateur sur cette base de donnée ou récupérer le mot de passe administrateur de Pierre ; le pirate dispose maintenant des mêmes accès que Pierre et peux consulter / modifier / supprimer toutes les données clients, annonces et informations présentes sur la base de donnée.
Dans la base de donnée se trouvent des informations bancaires des clients de Pierre, le pirate vide les comptes bancaires de tous les clients de Pierre.
Disposant d’un accès à toutes les opportunités commerciales de Pierre tant que le site internet de Pierre n’est pas sécurisé, le pirate vend en temps réel la liste des clients de Pierre à une agence immobilière concurrente.
Comme pour la plupart des gens, Pierre utilise souvent le même mot de passe ou une déclinaison du même mot de passe, en plus d’avoir accès au site internet de Pierre, le pirate informatique peut également, consulter tous les courriels de Pierre et en déduire tous les services sur lesquels Pierre est inscrit. Si Pierre a gardé le courriel d’activation du service, le pirate n’a même pas à chercher les mots de passe de Pierre.
Le pirate informatique est en mesure d’exécuter du code sur le serveur web de Pierre, si le serveur web de Pierre est dans son agence, il est maintenant capable d’accéder à l’ordinateur personnel de Pierre et de ses collaborateurs.
Avec l’accès à l’ordinateur personnel de Pierre, le pirate peut vider les comptes bancaires de Pierre, soit en récupérant les mots de passe de la banque en ligne de Pierre, soit en plaçant un cheval de Troie sur l’ordinateur de Pierre et en attendant qu’il se connecte à sa banque en ligne.
Disposant aussi de toutes les informations personnelles de Pierre, de sa comptabilité, factures, date de naissance, lieu de naissance etc, le pirate peut se faire passer pour Pierre, se faire des papiers d’identité et contracter des factures et prêts à son nom.
Juste avant la rentrée scolaire, alors que les affaires de Pierre sont sur le point de décoller, le pirate informatique menace Pierre de supprimer l’ensemble de son site internet et de ses courriels professionnels contre une rançon.