Autre exemple de la véracité de l’adage “chez le forgeron, le bâton” : une récente attaque sur mysql.com a non seulement été couronnée de succès, mais les pirates ont également accédé à plusieurs informations cruciales et les ont volées. L’ironie de l’histoire ? L’invasion a été réalisée par une simple injection SQL !
Les attaques de SQL Injection se produisent généralement dans les systèmes amateurs, où les développeurs (par ignorance ou inattention) ne désinfectent pas les appels à la base de données, empêchant l’inclusion de commandes SQL par l’ajout de code supplémentaire. Par exemple, un simple :
SÉLECTIONNER * DES ‘clients’ OÙ ‘id’=1
Vous pouvez vous transformer en cauchemar en ajoutant simplement une commande supplémentaire, via les appels GET ou POST :
SÉLECTIONNER * DE “clients” OÙ “id”=1;DROP TABLE “utilisateurs” ;
Où la deuxième commande supprimerait la totalité du tableau “utilisateurs”. En d’autres termes, le tour le plus stupide du manuel. Et c’est exactement la faille qui a été exploitée dans le site officiel de MySQL, aussi incroyable que cela puisse paraître.
À partir de l’invasion, des listes d’utilisateurs ont été obtenues, avec leurs e-mails et leurs mots de passe respectifs cryptés. De telles listes ont déjà été publiées sur Internet, et certaines ont même été brisées, révélant des données curieuses : un directeur de MySQL avait un mot de passe de seulement 4 (quatre !) caractères !
La recommandation des propriétaires du site est que si vous avez un compte sur mysql.com (ou sur les miroirs mysql.fr, mysql.de et mysql.fr), vous y accédiez le plus rapidement possible et changiez le mot de passe actuel. Si ce mot de passe est courant pour les comptes d’autres sites, faites de même pour ces services.
