Sécurité publique Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Common menu bar links | Liens de navigation communs

Skip Navigation Links Accueil > Programmes > Intervention > CCRIC > Diffusions analytiques 2008 > IN08-002 : Attaques par injection SQL

Liens institutionnels

Attaques par injection SQL

IN08-002
Date : 23 juin 2008

Objet

Cette note d'information a pour objet d’inciter les organisations à prendre des mesures proactives pour s'assurer que leur présence Web n'est pas touchée par la menace d'une attaque par injection SQL. Les serveurs compromis pourraient infecter par inadvertance les ordinateurs des utilisateurs qui visitent leurs sites au moyen de scripts de redirection insérés dans le code html des pages Web. Le CCRIC encourage fortement tous les administrateurs de sites Web à examiner avec soin leur façon de protéger leurs pages Web et leurs bases de données SQL. On rappelle aussi aux organisations qu'elles doivent rester vigilantes et à l’affût des nouvelles menaces liées à Internet.

Évaluation

Contexte

SQL (Structured Query Language) est un langage de programmation informatique conçu pour les bases de données. Le terme « injection SQL » signifie l’insertion de code de programmation à des fins malicieuses. L’objectif visé par l’injection SQL est d’influencer le résultat d’une interaction avec une base de données en insérant des mots clés SQL au lieu des données attendues.

Actuellement, le CCRIC est au courant d’un nombre croissant de cyberattaques qui sévissent sur Internet et qui entraînent la compromission de systèmes. Les sites compromis redirigent par inadvertance les navigateurs des clients vers des domaines externes malicieux qui tentent de compromettre le système du visiteur.

De plus, à la lumière de plusieurs rapports sur la réinfection de systèmes qui semblaient avoir été corrigés, il apparaît évident que de nombreux administrateurs ont recours uniquement à des correctifs provisoires. Les solutions à court terme, comme la restoration des copies de sauvegarde des bases de données, ne fonctionnent que temporairement et le système demeure vulnérable.

haut de la page

Analyse

On utilise des attaques par injection SQL pour ajouter des balises html à la base de données. Ces balises peuvent ensuite être ajoutées à des données existantes ou à de nouvelles entrées. Une page Web qui utilise des données provenant d’une base de données touchée envoie les balises de redirection au navigateur. Certaines pages Web interagissent avec des bases de données pour faire la mise à jour de leur contenu ou pour accéder à d’autres formes d’information. Les sites Web malicieux peuvent héberger tout un éventail de code malicieux, qui peut être détecté ou non par les logiciels anti-virus. La plupart des utilisateurs qui visitent un site compromis ne savent pas que leur ordinateur est infecté par du code malicieux, comme des enregistreurs de frappe et des logiciels voleurs d’informations, ce qui laisse ces personnes vulnérables à des envois de pourriels, à la fraude ou au vol d’identité.

haut de la page

Incidence

Les applications Web qui demeurent vulnérables aux ataques par injection SQL peuvent être infectées et réinfectées, et les visiteurs de ces sites Web risquent de voir leurs ordinateurs être infectés par du code malicieux. Si des contre-mesures appropriées ne sont pas prises pour prévenir les attaques par injection SQL, cela peut entraîner l’utilisation non autorisée et criminelle d’applications Web vulnérables pour propager et favoriser des activités malicieuses. Les ordinateurs des visiteurs qui se rendent dans les sites Web compromis seront infectés s’ils ne sont pas protégés adéquatement.

haut de la page

Mesure suggérée

Vous pouvez consulter un rapport technique détaillé, TR08-001 Réduction de la menace des attaques massives par injection SQL, à l’adresse :

TR08-001 Réduction de la menace des attaques massives par injection SQL - ver 1.0.0 Final.pdf (PDF 84Ko)

haut de la page

Information additionnelle :

D’autres techniques d’atténuation sont offertes dans le site Web de l’OWASP (Open Web Application Security Project) : (en anglais)

http://www.owasp.org/index.php/Preventing_SQL_Injection_in_Java#Defence_Strategy

haut de la page

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca

Date de modification : 2009-01-12
Haut de la page
Haut de la page
Avis importants