Le piratage informatique, un jeu d’enfant

[gérard menvussa]

Le piratage informatique, un jeu d’enfant Suite au piratage du journal "le devoir" (sorte de "Le monde", version quebec")
17 août 2011 | 09h20


Jean-Nicolas Blanchet
Agence QMI

Le piratage du site internet du « Devoir » a suscité des interrogations par rapport à l’efficacité des mesures de sécurité des contenus informatiques mis en ligne par les entreprises publiques ou privées, au Québec.
(Photo: Reuters)

Le directeur du Centre de criminologie comparée de l’Université de Montréal, Benoît Dupont, a expliqué que l’intrusion dans de tels systèmes informatiques était un jeu d’enfant pour les malveillants. « Ça ne prend pas un ingénieur très qualifié pour arriver à faire ça. Avec des connaissances techniques très limitées, on peut y parvenir. »

M. Dupont ne semblait pas impressionné de la piraterie du site du « Devoir ». « Comme la plupart des grands sites, ce sont des bases de données dynamiques qui envoient des contenus d’information sur la page internet. Des gens sont en mesure de pirater cette base de données mal paramétrée et de modifier le contenu du site. » Ce type de piratage est courant dans le monde du crime informatique, selon Benoît Dupont, qui est aussi titulaire de la Chaire de recherche en sécurité, identité et technologie

« Si vous consacrez un peu de temps ou vous achetez un logiciel de piraterie qui permet de faire ressortir de façon automatique toutes les failles d’un serveur, ça peut devenir très facile d’introduire un site », a-t-il ajouté.

Insouciance

M. Dupont a souligné que les Québécois sont parfois insouciants par rapport au piratage informatique. « Le gouvernement provincial en avait fait une priorité, il y a quelques années. Mais rien n’a été fait. On doit avoir plus de mesures de sensibilisation auprès des entreprises. Il y avait un l’Institut de sécurité de l’information du Québec, mais il a été supprimé, l’an dernier. Il ne fait plus d’activités et dispose d’un site internet présentant des informations qui commencent sérieusement à être périmées. »

[mariyaana]

very nice post

[yannalan]

ca fait trois jours que le serveur de l'Académie de Rennes est victime d'un piratage et qu'ilsont du mal à en sortir !

[gérard menvussa]

La sécurité informatique est question de préparation. C'est plus facile de se protéger des conséquences d'une agression (informatique ou pas) AVANT qu'elle ne survienne. Mais évidemment, tant qu'on a pas payé le prix (qui peut être trés lourd) d'un piratage informatique, on n'en sait rien. Et on cherche souvent aussi à diminuer le crédit "sécurité". Puisque quand tout marche bien, ça sert à rien !








la

[Zelda]

Si je puis développer un tout petit peu en quoi c'est facile, je ne suis pas sûre que tout le monde sache cela.
L'attaque la plus classique et la plus facile d'une base de données, c'est ce qu'on appelle l'injection SQL.
Elle consiste en ceci :
Vous avez un formulaire en ligne, qui vous demande par exemple votre pseudo et mot de passe pour vous connecter.
Vous saisissez donc "Zelda" et "secret" puis validez.
Derrière, un langage de script fait ceci :
Il lance une commande SQL dans votre base du genre

Code:

Select pseudo, mdp, genre, nom, prenom, age from users where pseudo = "'.$_POST['pseudo'].'" and mdp="'.$_POST['mdp'].'";

Si à la place de Zelda, dans le formulaire, vous tapez une injection SQL dans ce goût :

Zelda" or id=1 --
Les "--" signifiant en sql que tout ce qui suit deviendra du commentaire et ne sera pas exécuté, et le id 1 dans la table users étant (pour un développeur débutant) le super admin...

Le code SQL deviendra textuellement

Code:

Select pseudo, mdp, genre, nom, prenom, age from users where pseudo = "Zelda" or id=1;

la requete devient donc en français : renvoie moi tout de qui concerne Zelda ou bien... le super admin...
vous voilà équipé du login et du mot de passe admin... sympa hein ?

ET 9 fois sur 10, le développeur débutant
1) met les mots de passe en dur dans la base
2) utilise la librairie mysql de PHP sans sécurité anti injection SQL
3) met l'id de super admin en 1

et pour répondre d'avance à ceux qui trouvent bizarre que je donne des tuyaux pour pirate en culotte courte, c'est pas moi, c'est de notoriété publique

https://fr.wikipedia.org/wiki/Injection_SQL

Alors comment lutter, ne serait-ce que contre ces piratages trop faciles ?
Payer des stages sécurité à ses développeurs, mais ça coûte un bras.
Mais heureusement, aujourd'hui par exemple en PHP, il y a la notion de requêtes préparées, avec une librairie PDO, qui remédie aux injections de type SQL. Mais il reste les injections LDAP.
Quant à stocker le mdp des utilisateurs crypté, encore faut-il le crypter de façon très très très complexe, genre sur 8 niveaux, mais pour ça, il y a des tutos internet.
Car, une dernière précision, sur un forum comme celui-ci, la seule info qui intéresse un pirate, c'est le mot de passe des utilisateurs, car plein d'utilisateurs ont le même mot de passe pour tout, forum, messagerie etc.

Donc un dernier conseil aux lecteurs : prenez un mot de passe le même partout pour les trucs dont vous vous foutez, et prenez un autre mot de passe bien plus chiadé pour votre messagerie par exemple, pour ne pas vous faire pirater votre mail, qui est quand même bien plus emmerdant que de se faire pirater son compte ici...

A+

[gérard menvussa]

ET 9 fois sur 10, le développeur débutant
1) met les mots de passe en dur dans la base
2) utilise la librairie mysql de PHP sans sécurité anti injection SQL
3) met l'id de super admin en 1

Je ne sais pas ou est ce que tu développes, mais il va falloir revoir d'urgence votre politique de sécurité !

[Contenu sponsorisé]