Renouveau des attaques par injection SQL, selon IBM
Les attaques par SQL injection sont banales. Elles atteignent un niveau de virulence inédit sur toute la planète, selon les experts en sécurité d'IBM. Une attaque par injection SQL entre dans sa troisième phase, selon IBM. Elle a déjà affecté un demi-million de sites Web dans le monde. L'offensive a débuté en janvier dernier à petite échelle. En avril, les pirates ont modifié leurs méthodes pour contourner les mesures de sécurité et le nombre d'attaques a grimpé en flèche. Une attaque dirigée contre la base SQL du site Web Cette troisième vague, lancée il y a deux semaines, déjoue plus facilement les protections. « J'ai traqué de telles attaques durant les six dernières années. Celle-ci est l'une des plus complexes et embrouillées que je n'ai jamais vues, affirme David Dewey, directeur de recherche à l'X-Force, chez IBM. L'injection SQL est une attaque dirigée contre la base de données d'une application Web et dans laquelle on exécute des commandes SQL non autorisées en profitant de failles dans le code. Elle est l'une des plus communes sur le Web, notamment parce qu'un navigateur et quelques connaissances dans les requêtes SQL suffisent. Des pages Web qui tentent de télécharger des codes malicieux « Les attaques récentes sont extrêmement complexes et difficiles à détecter avant qu'il ne soit trop tard, avoue David Dewey. Un site britannique de publicité et de marketing, Autoweb, victime d'une récente attaque par injection SQL, n'a pu redémarrer qu'à l'issue d'une série de contre-mesures visant à bloquer les adresses IP en Chine d'où provenaient les attaques. Un développeur a dû colmater ses failles. Trente caractères avaient été injectés dans une ligne de commande afin d'écraser le contenu. L'attaque avait laissé ...... des pages Web opérationnelles afin qu'elles injectent du code malicieux dans les navigateurs Web des internautes. Au quotidien, les pirates recherchent à travers le monde les sites Web vulnérables à ce type d'attaques. Nombre de sites de commerce en ligne en ont été victimes. Les internautes qui se connectent à ces sites infectés sont redirigés vers des sites pirates. Ceux-ci attaquent le PC du visiteur, tentant de multiples incursions. Un serveur détourné en 30 minutes Si l'une d'elles réussit, un logiciel est téléchargé sur le PC afin d'en faire, à l'insu de son propriétaire, une machine « zombie » qui vient renforcer le réseau pirate (botnet). Celui-ci lance à son tour de nouvelles attaques injection SQL. « Cela se propage si vite, qu'il n'y guère de moyen de l'empêcher. J'ai vu un cas où un tel serveur était détourné en moins de 30 minutes, reconnaît David Dewey. L'un de ces réseaux pirates, Asprox, spécialisé dans l'envoi de spams destinés au pishing, envoie une pseudo mise à jour aux PC qu'il tente de contrôler, signale Joe Stewart, directeur de recherche sur les logiciels malveillants chez Secureworks (Atlanta). Une attaque venant de 1000 serveurs chinois Cette pseudo mise à jour prend la forme d'un exécutable « msscntr32.exe », censé installer un service Windows : « Microsoft Security Center Extension ». En réalité, cet exécutable installe un outil d'attaque injection SQL. Il a même utilisé le moteur de recherche de Google pour trouver des sites potentiellement vulnérables. Joe Stewart a comptabilisé 1.000 sites attaqués par injection SQL en trois jours. La plupart se trouvent aux Etats-Unis. F-Secure ou Symantec pointent du doigt des pirates chinois. Pourtant, les sites chinois et taïwanais ne sont pas eux-mêmes à l'abri de telles attaques. Un prestataire taïwanais a recensé plusieurs milliers de sites infectés. Détectée le 13 mai, l'attaque provenait d'une ferme de serveurs installés en Chine dont les adresses IP n'étaient même pas cachées, commente Wayne Huang, P-DG d'Armorize Technologies, installée à Taipeh. « Cette attaque provenait de 1000 serveurs et exploitait une dizaine de failles d'Internet Explorer et d'extensions très prisées en Asie. Et même si les pirates ne parviennent pas toujours à introduire un logiciel malveillant, ils détruisent de nombreux sites par leurs attaques, conclut-t-il.