Logiciels

Le site officiel de MySQL est piraté par injection SQL

Autre exemple de la véracité de l’adage “chez le forgeron, le bâton” : une récente attaque sur mysql.com a non seulement été couronnée de succès, mais les pirates ont également accédé à plusieurs  informations cruciales et les ont volées. L’ironie de l’histoire ? L’invasion a été réalisée par une simple injection SQL !

Les attaques de SQL Injection se produisent généralement dans les systèmes amateurs, où les développeurs (par ignorance ou inattention) ne désinfectent pas les appels à la base de données, empêchant l’inclusion de commandes SQL par l’ajout de code supplémentaire. Par exemple, un simple :

SÉLECTIONNER * DES ‘clients’ OÙ ‘id’=1

Vous pouvez vous transformer en cauchemar en ajoutant simplement une commande supplémentaire, via les appels GET ou POST :

SÉLECTIONNER * DE “clients” OÙ “id”=1;DROP TABLE “utilisateurs” ;

Où la deuxième commande supprimerait la totalité du tableau “utilisateurs”. En d’autres termes, le tour le plus stupide du manuel. Et c’est exactement la faille qui a été exploitée dans le site officiel de MySQL, aussi incroyable que cela puisse paraître.

  Chrome vous permet de masquer les boutons d'extension

À partir de l’invasion, des listes d’utilisateurs ont été obtenues, avec leurs e-mails et leurs mots de passe respectifs cryptés. De telles listes ont déjà été publiées sur Internet, et certaines ont même été brisées, révélant des données curieuses : un directeur de MySQL avait un mot de passe de seulement 4 (quatre !)  caractères !

La recommandation des propriétaires du site est que si vous avez un compte sur mysql.com (ou sur les miroirs mysql.fr, mysql.de et mysql.fr), vous y accédiez le plus rapidement possible et changiez le mot de passe actuel. Si ce mot de passe est courant pour les comptes d’autres sites, faites de même pour ces services.

A propos de l'auteur

Zineb

Enseignante en lycée, je m'intéresse à tout ce qui touche aux nouvelles technologies. #teamMac sur PerlmOl (je ne me sépare d'ailleurs jamais non plus de mon Iphone).

Laisser un commentaire