IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les sites de MySQL victimes d'une attaque informatique, par injection SQL


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut Les sites de MySQL victimes d'une attaque informatique, par injection SQL
    Les sites de MySQL victimes d'une attaque informatique, par injection SQL

    Les sites officiels de MySQL (le .com, mais aussi ses versions françaises, allemandes, italiennes et japonaises) ont été la cible d'attaques informatiques.

    Les pirates ont procédé par injection SQL (le comble!) et ont ainsi dérobé un listing des adresses e-mail des employés, ainsi que leurs mots de passe, avec en prime des informations confidentielles sur les consommateurs.

    De plus, le code d'accès au WordPress du directeur de management des produits a été saisi, il faut dire qu'il ne comprenait que... 4 chiffres ! Et certains comptes avaient des mots de passe faits de seulement deux caractères.

    Malgré tout, ce ne sont pas ces mots de passe faibles qui ont été utiliser pour compromettre les sites, mais des failles dans l'implémentation des sites en question (et donc non présentes dans MySQL lui-même).

    Les attaques ont aussi visé les sociétés propriétaires de MySQL (Sun et Oracle), mais avec un succès partiel. Les e-mails ont été récupérés dans les bases de données, mais pas les mots de passe.

    Source : Le blog de Sophos

  2. #2
    Membre régulier
    Profil pro
    Inscrit en
    Septembre 2010
    Messages
    40
    Détails du profil
    Informations personnelles :
    Âge : 33
    Localisation : France

    Informations forums :
    Inscription : Septembre 2010
    Messages : 40
    Points : 103
    Points
    103
    Par défaut
    Mais quelle bande de tâches quand même, comment c'est encore possible ça !

  3. #3
    Membre habitué
    Profil pro
    Inscrit en
    Octobre 2010
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2010
    Messages : 41
    Points : 134
    Points
    134
    Par défaut
    ah ah la blague

  4. #4
    Membre éprouvé Avatar de Oishiiii
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Août 2009
    Messages
    508
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Août 2009
    Messages : 508
    Points : 1 107
    Points
    1 107
    Par défaut
    Le plus grave c'est l'injection SQL ou le stockage des mots de passe en clair ?

  5. #5
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    Mars 2010
    Messages
    58
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Mars 2010
    Messages : 58
    Points : 110
    Points
    110
    Par défaut
    La blague ! Ça ressemblerait presque à un poisson d'avril un peu en avance

  6. #6
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 605
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 605
    Points : 4 140
    Points
    4 140
    Par défaut
    c'est pas forcement les développeur d’application qui en sont les meilleurs utilisateurs.

  7. #7
    Rédacteur
    Avatar de pi-2r
    Homme Profil pro
    Développeur Java
    Inscrit en
    Juin 2006
    Messages
    1 486
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Juin 2006
    Messages : 1 486
    Points : 2 440
    Points
    2 440
    Par défaut
    c'est vraiment un comble...

  8. #8
    Membre éclairé Avatar de Code62
    Homme Profil pro
    Chef de projet NTIC
    Inscrit en
    Novembre 2008
    Messages
    162
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : Belgique

    Informations professionnelles :
    Activité : Chef de projet NTIC
    Secteur : Conseil

    Informations forums :
    Inscription : Novembre 2008
    Messages : 162
    Points : 898
    Points
    898
    Par défaut
    Epic fail

  9. #9
    Membre averti
    Homme Profil pro
    Développeur Java
    Inscrit en
    Mai 2007
    Messages
    132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mai 2007
    Messages : 132
    Points : 419
    Points
    419
    Par défaut
    Voir aussi http://seclists.org/fulldisclosure/2011/Mar/309

    C'est vrai que c'est pas très glorieux pour un site de cette renommée... ça doit faire 5 ans que j'ai pas fais de php mais un simple
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    $id = intval($_GET['id'])
    avant traitement aurait empêché ce désastre non ?

  10. #10
    Membre actif Avatar de ratomms
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Septembre 2009
    Messages
    163
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Septembre 2009
    Messages : 163
    Points : 253
    Points
    253
    Par défaut
    ça alors, c'est vraiment comble. Pourquoi est-ce possible?

  11. #11
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Avril 2010
    Messages : 1 229
    Points : 3 583
    Points
    3 583
    Par défaut
    L'attaque a été revendiquée et c'était un white hat, ou bien les développeurs ont du souci à se faire ?

  12. #12
    Membre expérimenté
    Homme Profil pro
    Inscrit en
    Janvier 2008
    Messages
    623
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Hauts de Seine (Île de France)

    Informations forums :
    Inscription : Janvier 2008
    Messages : 623
    Points : 1 369
    Points
    1 369
    Par défaut
    Citation Envoyé par Oishiiii Voir le message
    Le plus grave c'est l'injection SQL ou le stockage des mots de passe en clair ?
    Ou les deux, plus les code d'accés à 2 ou 4 caractères...
    Wordpress autorise les mots de passe de seuleument 4 caractères?

    C'est tellement énorme que j'ai du mal à y croire.

  13. #13
    Modérateur
    Avatar de Flaburgan
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2010
    Messages
    1 229
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Avril 2010
    Messages : 1 229
    Points : 3 583
    Points
    3 583
    Par défaut
    Euh, s'agit pas de wordpress là...

  14. #14
    Membre averti Avatar de demenvil
    Homme Profil pro
    Analyste développeur
    Inscrit en
    Avril 2009
    Messages
    195
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Analyste développeur
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2009
    Messages : 195
    Points : 389
    Points
    389
    Par défaut
    Énoorme..
    C'est pas mal une bonne petite histoire ^^ les site de mysql pirater par injection sql ^^ des mot de passe de 4 chiffre et d'autre de deux caractères
    On peut dire qu'il y a du niveau chez Oracle

  15. #15
    Expert éminent
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    Février 2005
    Messages
    3 501
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : Février 2005
    Messages : 3 501
    Points : 6 088
    Points
    6 088
    Par défaut
    Bizarre, il y a quelque temps c'était le site de PHP.net qui a été attaqué.
    Coïncidence ou non ?

  16. #16
    Membre averti Avatar de demenvil
    Homme Profil pro
    Analyste développeur
    Inscrit en
    Avril 2009
    Messages
    195
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Analyste développeur
    Secteur : Finance

    Informations forums :
    Inscription : Avril 2009
    Messages : 195
    Points : 389
    Points
    389
    Par défaut
    Bah c'est la fête en ce moment ^^
    le site de php, mysql, des certifs SSL (google & cie) et même la nasa ^^ Si on rajoute stuxnet moi je dit en ce moment c'est la fête !

  17. #17
    Membre expérimenté
    Homme Profil pro
    Inscrit en
    Janvier 2008
    Messages
    623
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Hauts de Seine (Île de France)

    Informations forums :
    Inscription : Janvier 2008
    Messages : 623
    Points : 1 369
    Points
    1 369
    Par défaut
    Citation Envoyé par Flaburgan Voir le message
    Euh, s'agit pas de wordpress là...
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    De plus, le code d'accès au WordPress du directeur de management des
     produits a été saisi, il faut dire qu'il ne comprenait que... 4 chiffres !
    C'était simplement une question, la plupart des applis n'autorisent pas d'avoir un mot de passe de moins de 5 ou 6 caractères et je savais pas Wordpress le permet.
    Ma remarque était là aussi pour dire que la sécurité n'est pas leur priorités...

Discussions similaires

  1. Sony Pictures victime d'une attaque informatique
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 14
    Dernier message: 02/12/2014, 13h01
  2. Réponses: 70
    Dernier message: 29/10/2011, 03h05
  3. Réponses: 4
    Dernier message: 06/05/2011, 12h10
  4. Réponses: 17
    Dernier message: 12/05/2010, 23h50
  5. Réponses: 0
    Dernier message: 21/02/2010, 12h47

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo