MySQL.com : la sécurité compromise par une injection SQL

Le site officiel de MySQL a subi une attaque récemment, et des données ont été volées. L’ironie veut que la méthode utilisée pour y parvenir soit une injection SQL, autrement dit le fait de profiter d’une faille de sécurité pour placer une requête SQL non-prévue, afin de faire réagir le système de manière anormale, ce qui compromet sa sécurité au passage.

mysql logo 

Une attaque venue de l'est

Les hackers sont Roumains et se prénomment TinKode et Ne0h. Leur attaque a visé le site principal MySQL.com et ils ont pour cela utilisé un paramètre d’une application y fonctionnant. Une fois la porte « ouverte », ils ont injecté des requêtes SQL et ont réussi à se procurer les identifiants et mots de passe de plusieurs comptes, notamment de Robin Schumacher, directeur de la gestion produit chez MySQL, ainsi que ceux de Kaj Arnö, vice-président de la communauté.

Dans les informations qui ont été extraites, on devrait parler plus précisément d’identités. Cela concerne les « logins » en eux-mêmes, mais les mots de passe n’étaient pas presents en clair puisqu’ils étaient seulement stockés sous la forme d'empreintes. Toutefois, ces dernières ne peuvent pas cacher la faiblesse du mot de passe inhérente au choix de la personne qui s’est enregistrée. Les hackers ont ainsi averti que plusieurs ont été trouvés via des tables arc-en-ciel, des structures de données créées spécifiquement pour retrouver des mots de passe depuis leur empreinte (ou hash).

L'attaque et la simplicité des mots de passe : deux problèmes différents

La société de sécurité Sophos dresse un triste bilan dans ce domaine. Robin Schumacher ne disposait effectivement que d’un code à quatre chiffres ce qui, d’un point de vue sécurité, est assez proche de l’aberration. Un caractère incroyable que Sophos souligne d’ailleurs en s’interrogeant sur ces chiffres : s’agissait-il de son code de carte bancaire ? Et même avec plusieurs mots de passe « qa », Sophos indique que le problème était une question de faille dans l’implémentation des sites, et non simplement une question de choix simplistes des utilisateurs.

Oracle, qui possède Sun et MySQL, a également été attaquée. Cette fois, des courriers électroniques et des tables ont été volés, mais cette fois-ci, aucune perte mot de passe n’est à déplorer. Sophos regrette cependant que des audits de sécurité n’aient pas été menés, car le problème qui est à la source de cette attaque aurait été probablement détecté.

D’après les propos de Stefan Tanase, chercheur en sécurité chez Kaspersky, rapportés par le site ThreatPost, les deux hackers sont relativement connus, notamment pour avoir compromis la sécurité de systèmes importants. D’après lui cependant, ils ne sont pas connus pour être malveillants : ils souhaitent braquer les projecteurs sur les problèmes de sécurité utilisés pour leurs attaques. Ils sont malheureusement rapides à diffuser les détails d’une attaque ce qui laisse peu de temps pour leur correction. Tinkode a tout de même publié un bulletin pour indiquer que le site MySQL.com était vulnérable à une attaque de type cross-script (XSS), et la brèche n’a toujours pas été corrigée.

Nous ne saurions que trop vous recommander de créer des mots de passe complexes, car ils sont un rempart efficace la plupart du temps : au moins quatre lettres, au moins quatre chiffres, au moins une majuscule et au moins un caractère spécial, en évitant les mots du dictionnaire, les noms évidents (enfants, animaux domestiques, etc.), les dates d’anniversaire, le code PIN du téléphone, le code de la carte bancaire, et ainsi de suite.
 

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !