Notre philosophie

DRASTIC apporte des solutions sur-mesures et optimales en sécurité informatique pour une maîtrise complète du temps, des résultats et du coût.

Injection SQL : le gouvernement anglais piraté

Publié lun, 31/08/2009 - 17:41

La technique est pourtant bien connue, mais dans ce cas, c'est ce qu'elle permet de découvrir qui intéresse la communauté de la sécurité informatique.

Le "SQL Injection" est une méthode simple : détourner les requêtes faites par un site Internet par exemple, pour lui faire afficher d'autres informations que celles prévues initialement. Aujourd'hui, le site Internet du parlement anglais (parliament.uk) en a fait les frais : les mots de passes des utilisateurs ont été révélé à un pirate par le biais d'une modification d'URL.

La faille, localisée selon son auteur sur le sous-domaine lifepeeragesact.parliament.uk, est une simple erreur de traitement des données en GET. Elle permet d'accéder à toutes les infos, en permettant à un éventuel assaillant de questionner la base de donnée directement. Et les informations sont éloquentes : la pauvreté des mots de passes des utilisateurs sur le site démontre que la politique de mots de passes à l'intérieur de l'organisation gouvernementale n'est pas efficace, sinon appliquée. Par ailleurs, il n'a même pas fallu à l'attaquant devoir décrypter les mots de passes, puisque ceux-ci (y compris les mots de passes des administrateurs) étaient stockés en clair dans la base de donnée.

UNU, hacker chapeau gris (ni méchant, ni gentil, ou peut-être les deux à la fois) de nationalité roumaine est connu de la communauté, il possède un palmarès impressionnant dans l'histoire des intrusions sur les sites Internet : BitDefender, mais aussi British Telecom et, plus proche de nous, Orange France. Il a publié, suite à son attaque, quelques informations pour prouver le bien fondé de son annonce. D'abords, deux impressions d'écrans disponibles ici et .

Mais en plus, on y trouve quelques informations : le système est hébergé par une Debian 4.0 (Etch) Linux avec MySQL dans sa version 5.0.32, qui apparemment n'est pas accessible depuis l'extérieur. L'un des comptes, dont le login est "fullera", appartiendrai à Alex Fuller qui selon sa fiche LinkedIn (réseau social professionnel) est employé par le parlement anglais en tant qu'arhcitecte Web sénior. D'autres comptes sont visibles, dont certains pourraient appartenir à des députés.

Le site SoftPedia qui rapporte la nouvelle affirme avoir prévenu le gouvernement anglais de cette information.

Commentaires

Blind injection

by Anonyme - 03/09/2009 - 14:48

En effet, en vue des captures d'écran, il s'agit d'une Blind injection SQL (a l'aveugle, en déterminant le nom des tables, le nombre de colonne, et la colonne permettant l'affichage des données).

Dans la même série, une annoncer de blind injection sur le site yahoo qui date de ce matin même.

http://itfreaks.us/news/hacking-and-security/yahoo-com-suffers-from-a-re...

Poster un nouveau commentaire

  • Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • You may insert videos with [video:URL]

Plus d'informations sur les options de formatage