Publié le 02-01-2011 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Tous les antivirus en ligne pour désinfecter votre ordinateur

7 – Injection SQL, la star pirate 2010
Les injections SQL sont devenues la première plaie du web. Les outils permettant l'exploitation de ces failles sont de plus en plus nombreux et d'une efficacité redoutable. Une fois la vulnérabilité SQL découverte via un script web, les pirates ont la possibilité de mettre la main sur l'ensemble des données du serveur, Parmi ces logiciels, un outil mis en place par des pirates informatiques iraniens. Un logiciel qui ne laisse aucune chance aux serveurs Internet.

Tout débute à la fin du mois de mai dernier. Un hackeur français contacte la rédaction pour nous expliquer que certaines données de notre serveur Internet pouvaient être lues et copiées très simplement. « Il me suffit de quelques clics de souris pour accéder à l'ensemble des adresses électroniques de la rédaction » soulignait-il alors. Et effectivement, en quelques secondes, une base de données s'ouvraient à nos regards étonnés. Un tour de passe-passe digne d'un David Copperfield de l'informatique. Inquiétant ! Si notre hackeur s'est donné pour mission de nous aider, nous allons découvrir que le business des bases de données sur Internet est devenu un gagne pain fructueux pour des centaines de pirates informatiques. Des e.voleurs équipés de logiciels étonnants. De véritables passe-partout électroniques à l'image du logiciel H'j3v (Le nom a été modifié, NDR), un programme créé par des bidouilleurs iraniens.

H'j3v ne paie pas de mine. Quelques boutons en anglais; deux/trois onglets; aucun mode d'emploi. Pourtant, derrière ces quelques bits, une arme redoutable qui devrait permettre aux responsables informatiques de réfléchir à deux fois sur la sécurité de leurs serveurs. Dans le cas de cet « outil », il en existerait plusieurs dizaines du même type sur la toile, il suffit de rentrer une adresse Internet trouvée via le moteur de recherche Google. « Le plus terrible, souligne François (un pseudonyme), un pirate informatique, Il suffit de quelques mots clés dans Google pour établir le lien qui ouvrira les portes du site que je cible ». Bilan de cette opération banale, le logiciel informatique se charge de trouver le point d'entrée à la base de données de n'importe quel site Internet. Opération que ce software effectue en moins de trois secondes. Vous avez bien lu, n'importe quel site Internet équipé d'une base de données est en danger. Lors de notre rencontre avec François, aux hasards de nos questions, l'intrus a été capable de nous présenter des serveurs faillibles appartenant à Orange, Paris-Match, M6, mais aussi des sites gouvernementaux, des boutiques, des hôtels, ... « J'aurai pu effectuer une razzia sur leurs informations, en quelques minutes » s'amusait alors notre interlocuteur.

Dans sa démonstration particulièrement inquiétante, des données bancaires se sont affichées dans certains cas ; des identifiants de connexion ; les messages internes. Bref, l'ensemble des petits et grands secrets inscrits et sauvegardés dans la moindre base de données. A noter que François nous a fourni les liens et les accès fautifs afin que les sites découverts lors de notre entretien soient alertés et corrigés. Du remord le jeune homme ? Peut-être ! En attendant, lors de sa démonstration, nous avons pu voir défiler devant nos yeux écarquillés des dizaines de mots de passe, non chiffrés, appartenant à des clients de l'espace PME d'un important opérateur  ; des données bancaires sauvegardées dans des bases de données de boutiques en ligne.

Vicieux, l'outil décortique une par une les tables d'enregistrements sauvegardées dans les bases de données. En quelques secondes, selon les configurations des sites et serveurs web, les identités, les adresses physiques, les courriels, les adresses ip, les messages laissés par les employés et les visiteurs des sites concernés apparaissent.

Dans le pire des cas, les commandes et les données bancaires sont consultables à souhait. « Aujourd'hui, souligne François, une base de données peut se revendre très chère. Si je mets la main sur des adresses électroniques, je les revends à des spammeurs. Si j'accède à des données bancaires. Il existe sur la toile des espaces privés où il est possible de revendre, échanger, acheter ce type de prestations. Il m'est arrivé de toucher plus de 4,000 euros par mois en revendant mes découvertes.»

Les tarifs varient selon les « produits ». Nous avons pu constater sur deux forums basés en Russie que les informations d'une carte bancaire (Les 16 chiffres, la date de validité et le CVV, le cryptogramme inscrit à l'arrière de la CB) pouvait se revendre entre cinq et 30 euros pièce. « Le problème, souligne le pirate informatique, est qu'il y a de plus en plus de monde pour la revente de données piratées. Cela fait baisser les prix. » Comme le souligne Jérôme Granger, responsable de la communication de l'éditeur de solutions de sécurité informatique Gdata « Cette économie souterraine qui prend de l'ampleur. Le développement de l’économie souterraine au cours des dernières années s’illustre par le biais d’un exemple : Là où les pirates informatiques se vantaient autrefois d’arriver à obtenir via des données volées un accès gratuit à d’innombrables offres de pornographie sur Internet, ils se targuent aujourd’hui du nombre de cartes de crédit qu’ils ont déjà réussi à dérober. Fait remarquable : ces données se transforment à présent en espèces sonnantes et trébuchantes. Une tendance qui a fait naître une économie souterraine. Aujourd’hui, tout ce qui existe déjà dans un vrai environnement économique légal : fabricants, commerçants, prestataires de services et clients se trouve dans l’économie des cyberdélinquants. »

Le « black market » informatique a encore de beaux jours devant lui, d'autant plus que les données nominatives, sensibles et privées tirées des bases de données sont légions sur Internet. Si la rétention de données financières est prise très au sérieux par la majorité des entreprises ayant pignon sur web, il nous a été permis de constater que les cartes bancaires pouvaient se collecter très simplement.

Comme le rappel la CNIL, tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physique (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l’obligation de sécurité est sanctionné de cinq ans d'emprisonnement et de 300 000 € d'amende (art. 226-17 du code pénal). Sans parler de la malchance de tomber entre les mains de pirates informatiques sans scrupules et de leurs logiciels de plus en plus sophistiqués.

P.S. : L'ensemble des entreprises citées ont été avertis. Les vulnérabilités ont été corrigées. Au 30 novembre, ZATAZ.COM avait référencé 73 logiciels capables de jouer avec des vulnérabilités SQL.

Retour au début du Rapport 2010 - ZATAZ Hadied >>>

Un Anonymous Français déclare la guerre aux hébergeurs

25-05-2012 à 13:05 - 1 commentaire(s)

Info zataz - Des dizaines d'hébergeurs sous le contrôle d'un Anonymous Français. Il déclare la guerre aux serveurs privés Dofus.

Votre compte Facebook a-t-il été infiltré ?

24-05-2012 à 12:09 - 0 commentaire(s)

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Fuite de données pour iPhone

22-05-2012 à 00:43 - 0 commentaire(s)

Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.

Téléphone portable ZTE piégé

22-05-2012 à 00:38 - 0 commentaire(s)

Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.

Le Bureau de Justice US piraté

22-05-2012 à 00:31 - 0 commentaire(s)

Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.

Anonymous contre pédophiles

22-05-2012 à 00:09 - 0 commentaire(s)

Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.

Vulnérabilité sur les site de FHM, ELLE et Forbes

20-05-2012 à 20:38 - 0 commentaire(s)

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Anonymous menacent le gouvernement québécois

20-05-2012 à 20:28 - 0 commentaire(s)

Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.

Votre compte Facebook a-t-il été infiltré ?

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Vulnérabilité sur les site de FHM, ELLE et Forbes

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Fuite pour l'Université du Massachussets

Info zataz - 3.000 identités d´étudiants, dont des Français, étaient disponibles à partir de l'Université du Massachussets.

Utiliser WhatsApp en WiFi rend les conversations publiques

L’application de messagerie instantanée multiplateforme WhatsApp ne chiffrait pas les données envoyées.

Faille pour le site de Harvard

Info zataz - La prestigieuse école Harvard trouée. Un white hat découvre comment accèder à l'une de ses bases de données.

Rencontres professionnelles de la sécurité informatique

Challenges, conférences, ateliers et démonstrations au programme du salon de la sécurité informatique, les 2 et 3 juin, au Maubeuge

Mise à jour de sécurité pour QuickTime

Apple a publié 17 alertes de sécurité vusant QuickTime Media Player.

Orion Browser Dumper v1.0

Orion Browser Dumper v1.0, un outil qui permet de regarder dans les petits secrets de nos navigateurs Internet.

Réagissez à ce contenu