Retour à la liste

Information sur les risques d'attaque par injection SQL

jeudi 11 juin 2009 00:00:00

Plusieurs attaques par injection de code SQL ont été récemment relevées contre des registres ou bureaux d'enregistrement. Les attaques ciblant les noms de domaine ont tendance à se multiplier ces derniers mois. Si les attaques les plus courantes visent généralement le DNS (par exemple au travers des infrastructures ou de failles repérées dans des logiciels comme BIND), les attaques observées récemment (et c'est le cas de la technique d'injection de code SQL) se focalisent sur la prise de contrôle du nom de domaine via les interfaces de gestion. De telles interfaces qui s'appuient généralement sur des systèmes de bases de données, sont proposées par les bureaux d'enregistrement à leurs clients titulaires de noms de domaine ou par les registres à leurs bureaux d'enregistrement. L'AFNIC vous propose ci-dessous un panorama de cette forme d'attaque relativement classique, mais jusqu'à présent peu utilisée contre les noms de domaine. En cas de questions ou d'événements à signaler, n'hésitez pas à vous adresser à hostmaster@nic.fr [...]

Note sur les injections SQL Il y a quelques semaines, divers articles ont été publiés sur des attaques contre le système d'enregistrement d'un TLD : les ccTLD de la Nouvelle-Zélande, de Porto-Rico] et du Maroc ont été touchés. Puis, plus récemment, cela a été le tour de l'Equateur, de l'Ouganda et de la Tunisie. Certaines attaques ont échoué, par exemple celle contre le Malawi. Google, principale victime de ces attaques, a mis (à tort) le DNS en cause. L'attaque a parfois porté directement sur le registre (cas de .pr), parfois sur un bureau d'enregistrement (cas de .ma). Rien n'a été signalé dans .fr et l'AFNIC n'a pas d'informations "de l'intérieur" sur ces attaques. Les articles ci-dessous sont donc à prendre avec prudence. Néanmoins, il semble clair (et cela a pu être vérifié dans le cas du Maroc) que l'injection SQL est la technique la plus souvent utilisée par l'attaquant, ce dernier commençant généralement par détecter la vulnérabilité du SGBD (système de gestion des bases de données) de la victime à ce type d'attaque. Comme l'AFNIC reçoit des données de ses bureaux d'enregistrement et les publie sans confirmation du titulaire du domaine, une attaque réussie contre un bureau d'enregistrement pourrait signifier un risque de changement des données DNS pour les clients de ce bureau d'enregistrement. Ainsi, l'AFNIC saisit cette occasion pour inviter ses bureaux d'enregistrement à s'assurer de la protection de leur SGBD contre ce type d'attaques. Plus concrètement, les bonnes pratiques de programmation [1], les audits de sécurité conduits régulièrement par un tiers, et de tests de la résistance du système aux injections SQL [2] permettent de réduire de manière drastique ce type de risque.   [1] Par exemple, pour combattre l'injection SQL, on peut utiliser des méthodes commes les requêtes préparées [2] Il existe plusieurs outils de test de son système comme l'extension Firefox SQL Injection ou comme le programme SQLmap
Haut de page

A propos de l'AFNIC

L’Afnic (Association française pour le nommage Internet en coopération) est une association française à but non lucratif. Depuis 20 ans, nous sommes l'office d'enregistrement pour la gestion des adresses internet sous l’extension .fr. Nous gérons également les extensions ultramarines .re (Ile de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques françaises), .wf (Wallis et Futuna), .yt (Mayotte). Ce qui représente plus de 3,2 millions de noms de domaine et sommes l’opérateur technique de 14 entreprises et collectivités ayant choisi d’avoir leur propre extension dont .paris, .bzh, .alsace, .corsica, .mma, .ovh, .leclerc ou encore .sncf. Nous sommes engagés à accompagner la transformation numérique des TPE/PME grâce à notre dispositif Réussir en .fr (www.reussir-en.fr) et proposons une offre gratuite d’accompagnement à la présence en ligne allant des outils de diagnostic aux formations sur le terrain dans toute la France. En tant qu’association, nous fédérons une communauté de plus d’une centaine de membres aux profils variés mais tous acteurs du web : bureaux d’enregistrement, entreprises, fédérations, utilisateurs, institutionnels, etc. Notre rôle s’inscrit dans une mission d’intérêt général plus large, qui consiste à contribuer au quotidien à un internet sûr et stable, ouvert aux innovations où la communauté internet française joue un rôle de premier plan. Par ailleurs, nous reversons 90% des bénéfices de la gestion du .fr à notre Fondation Afnic pour la solidarité numérique (www.fondation-afnic.fr) qui finance chaque année une trentaine de projets visant à réduire la fracture numérique sur tout le territoire français.