Sécurité IT : une injection SQL sans ordonnance pour les sites de Sun et MySQL

Cloud

Des attaques opérées par injection SQL ont visé des sous-sites Sun.com exploités par Oracle. Il faut toujours vérifier la qualité du code d’un site Web, considère Sophos.

(Correction 04/04/11) Mauvaise passe pour Oracle. Des individus malveillants ont réussi à récupérer des données confidentielles sur ses serveurs par le biais d’une injection SQL.

Cet acte de piratage serait l’œuvre de deux pirates roumains “TinKode” et “Ne0h”.

Le premier a indiqué sur son blog que deux sous-domaines du site de Sun (désormais propriété d’Oracle) ont été compromis (reman.sun.com et ibb.sun.com), mais aussi le site MySQL.com et un domaine rattaché à l’éditeur de sécurité Eset d’origine slovaque [et non roumain comme écrit auparavant].

Selon eWeekEurope, par le biais d’une attaque par injection SQL, le hacker TinKode a pu obtenir les noms de table, les noms de colonnes et adresses électroniques enregistrées dans l’une des tables de la base de données.

A ce stade, il n’est pas établi que le pirate ait pu avoir accès aux mots de passe du site Sun.com ou si cette information est passée sous silence pour une raison quelconque.

Les équipes de développement web d’Oracle-Sun risquent de recevoir une pluie de critiques.

« Le problème ne vient pas du logiciel de base de données open source (MySQL) mais de la façon dont le site Web a été codé » explique Chester Wisniewski, un expert de Sophos, sur le blog Naked Security.

Les failles de type injection SQL sont courantes.

Chester Wisniewski rappelle dans sa contribution l’importance de réaliser des audits de son code à intervalles régulières, et d’utiliser des mots de passe complexes, au risque de se retrouver dans des situations inconfortables vis-à-vis de ses clients/utilisateurs ou même de ses concurrents.

Pour Oracle, le travail de sécurisation vient juste de commencer.

En effet, des experts en sécurité présents sur le site XSSed (spécialisé dans les failles XSS) pointent du doigt les sites MySQL.com et Sun.com qui comporteraient « un certain nombre » de vulnérabilités cross-site-scripting, à ce jour non-fixées.

Elles auraient d’ailleurs pu être utilisée dans le cas de la récente attaque mais cela n’a pas été établi.

Oracle ne pouvant régler immédiatement le problème pour Sun.com, le nom de domaine a été redirigé vers une page interne du site de l’éditeur.

Lire aussi :