Imperva, leader mondial de la sécurité des données, a recensé les 10 menaces les plus dangereuses pour les bases de données. Bien que ces informations soient vulnérables à un grand nombre d'attaques, il est possible de réduire considérablement les risques en se concentrant sur les menaces les plus critiques.
Menace n° 1 – Abus de privilège excessif
Lorsque les utilisateurs (ou les applications) ont des privilèges d'accès à une base de données excédant les exigences de leur fonction professionnelle, il leur ait donné l’opportunité d’en abuser. Par exemple, un directeur d'université dont la fonction n'exige que la capacité à modifier les coordonnées des étudiants pourrait profiter de cette situation pour modifier les notes.
L'utilisateur d'une base de données peut avoir des privilèges excessifs pour la simple raison que les administrateurs n'ont pas le temps de définir ni de mettre à jour des mécanismes de contrôle granulaire des privilèges d'accès pour chacun.
Menace n° 2 – Abus de privilège légitime
Les utilisateurs peuvent également abuser de privilèges légitimes d'accès à une base de données à des fins non autorisées. Imaginez un fonctionnaire de la santé malveillant qui peut visualiser les dossiers médicaux des patients grâce à une application Web personnalisée. Normalement, la structure de l'application Web limite les privilèges des utilisateurs à la visualisation du dossier médical d'un seul patient. Cependant, le fonctionnaire malveillant peut contourner ces limitations en se connectant à la base de données via un client alternatif tel que MS-Excel. Avec cet outil et ses propres identifiants de connexion légitimes, le fonctionnaire peut récupérer et sauvegarder les dossiers médicaux des patients et les utiliser à sa guise. Il y a peu de chances pour que de telles copies personnelles des bases de données des dossiers de patients respectent les règles sur la protection des données des patients définies par les institutions médicales.
Menace n° 3 – Elévation de privilège
Les auteurs d'attaques peuvent profiter des vulnérabilités des logiciels de bases de données pour transformer les privilèges d'accès d'un utilisateur ordinaire en ceux d'un administrateur. Les vulnérabilités peuvent se trouver dans les procédures enregistrées, les fonctions intégrées, les implémentations de protocoles, voire même dans les données SQL.
Par exemple, un développeur de logiciels travaillant dans une institution financière peut profiter d'une fonction vulnérable pour s'attribuer des privilèges administrateur avec lesquels il peut désactiver les mécanismes d'audit, créer des comptes fantômes, transférer des fonds, etc.
Menace n° 4 – Exploitation des failles des bases de données vulnérables ou mal configurées
Les bases de données sont souvent vulnérables, non corrigées ou disposent de comptes et d'une configuration toujours définis par défaut. L'auteur d'une attaque qui tente d'exploiter la base de données commence généralement par tester les systèmes sur ces vulnérabilités, ce qui peut entraîner une violation de sécurité. Alors que les fournisseurs développent des packs de correction pour les systèmes au niveau d'une vulnérabilité spécifique, les bases de données des entreprises demeurent librement exploitables. De plus, lorsqu'un correctif est lancé, il n'est pas disponible immédiatement.
Menace n° 5 – Injection SQL
Dans le cadre d’une attaque par injection SQL, l'auteur insère généralement (ou « injecte ») des informations de bases de données non autorisées dans une chaîne de données SQL vulnérable. Généralement les chaînes de données visées incluent les procédures enregistrées et les paramètres d'entrée des applications Web. Ces informations injectées sont ensuite envoyées vers la base de données où elles sont exécutées. En utilisant l'injection SQL, les auteurs d'attaques peuvent obtenir l'accès illimité à l'ensemble d'une base de données.
Menace n° 6 – Faiblesse de l’audit natif
Un enregistrement automatique de toutes les transactions de bases de données sensibles et/ou inhabituelles devrait être la base sous-jacente de tout déploiement de base de données. Une faible règle d'audit des bases de données représente un sérieux risque organisationnel.
Menace n° 7 – Déni de service
Le déni de service (DOS - Denial Of Service) est une catégorie d'attaque générale par laquelle l'accès aux applications réseau est refusé à certains utilisateurs. Les conditions de déni de service peuvent être créées par de nombreuses techniques, parmi lesquelles beaucoup sont liées aux vulnérabilités mentionnées précédemment.
Par exemple, le déni de service peut être obtenu en profitant de la vulnérabilité d'une plate-forme de bases de données pour faire tomber un serveur. D'autres techniques communes de déni de service incluent la corruption de données, l'engorgement du réseau et la surcharge en ressources du serveur (mémoire, unité centrale, etc.).
Menace n° 8 – Vulnérabilités des protocoles de communication des bases de données
Un nombre croissant de vulnérabilités de sécurité est identifié dans les protocoles de communication conçus par tous les fournisseurs de bases de données. Quatre des sept correctifs de sécurité inclus dans les deux derniers packs de correction IBM DB2 traitent des vulnérabilités des protocoles de type 1. De la même façon, 11 des 23 vulnérabilités de bases de données corrigées dans le dernier correctif trimestriel d'Oracle ont un rapport avec les protocoles. Les activités frauduleuses prenant pour cible ces vulnérabilités peuvent aller de l'accès aux données non autorisées à la corruption de données, en passant par le déni de service.
Menace n° 9 – Copies non autorisées de données sensibles
De nombreuses entreprises s'efforcent de localiser toutes leurs bases de données et de les inventorier de manière appropriée. Cependant, de nouvelles bases peuvent être créées sans que l'équipe responsable de la sécurité soit au courant et les données sensibles copiées peuvent être ainsi exposées si les contrôles nécessaires ne sont pas appliqués. Ces bases de données « cachées » peuvent contenir des informations potentiellement sensibles telles que les détails des transactions, ainsi que les coordonnées des clients et des employés. Cependant, si les personnes chargées de la sécurité ne connaissent pas le contenu de ces bases, il est difficile de s'assurer que les contrôles nécessaires ont été mis en place. Que ce soit de manière intentionnelle ou non, les employés ou les pirates informatiques peuvent alors accéder illégalement aux données sensibles.
Menace n° 10 – Exposition de données de sauvegarde
Les dispositifs de sauvegarde de bases de données auxiliaires ne sont généralement pas protégés contre d'éventuelles attaques. Par conséquent, plusieurs violations de sécurité importantes ont vu le jour, y compris le vol de disques durs et de bandes de sauvegarde de bases de données.
Menace n° 1 – Abus de privilège excessif
Lorsque les utilisateurs (ou les applications) ont des privilèges d'accès à une base de données excédant les exigences de leur fonction professionnelle, il leur ait donné l’opportunité d’en abuser. Par exemple, un directeur d'université dont la fonction n'exige que la capacité à modifier les coordonnées des étudiants pourrait profiter de cette situation pour modifier les notes.
L'utilisateur d'une base de données peut avoir des privilèges excessifs pour la simple raison que les administrateurs n'ont pas le temps de définir ni de mettre à jour des mécanismes de contrôle granulaire des privilèges d'accès pour chacun.
Menace n° 2 – Abus de privilège légitime
Les utilisateurs peuvent également abuser de privilèges légitimes d'accès à une base de données à des fins non autorisées. Imaginez un fonctionnaire de la santé malveillant qui peut visualiser les dossiers médicaux des patients grâce à une application Web personnalisée. Normalement, la structure de l'application Web limite les privilèges des utilisateurs à la visualisation du dossier médical d'un seul patient. Cependant, le fonctionnaire malveillant peut contourner ces limitations en se connectant à la base de données via un client alternatif tel que MS-Excel. Avec cet outil et ses propres identifiants de connexion légitimes, le fonctionnaire peut récupérer et sauvegarder les dossiers médicaux des patients et les utiliser à sa guise. Il y a peu de chances pour que de telles copies personnelles des bases de données des dossiers de patients respectent les règles sur la protection des données des patients définies par les institutions médicales.
Menace n° 3 – Elévation de privilège
Les auteurs d'attaques peuvent profiter des vulnérabilités des logiciels de bases de données pour transformer les privilèges d'accès d'un utilisateur ordinaire en ceux d'un administrateur. Les vulnérabilités peuvent se trouver dans les procédures enregistrées, les fonctions intégrées, les implémentations de protocoles, voire même dans les données SQL.
Par exemple, un développeur de logiciels travaillant dans une institution financière peut profiter d'une fonction vulnérable pour s'attribuer des privilèges administrateur avec lesquels il peut désactiver les mécanismes d'audit, créer des comptes fantômes, transférer des fonds, etc.
Menace n° 4 – Exploitation des failles des bases de données vulnérables ou mal configurées
Les bases de données sont souvent vulnérables, non corrigées ou disposent de comptes et d'une configuration toujours définis par défaut. L'auteur d'une attaque qui tente d'exploiter la base de données commence généralement par tester les systèmes sur ces vulnérabilités, ce qui peut entraîner une violation de sécurité. Alors que les fournisseurs développent des packs de correction pour les systèmes au niveau d'une vulnérabilité spécifique, les bases de données des entreprises demeurent librement exploitables. De plus, lorsqu'un correctif est lancé, il n'est pas disponible immédiatement.
Menace n° 5 – Injection SQL
Dans le cadre d’une attaque par injection SQL, l'auteur insère généralement (ou « injecte ») des informations de bases de données non autorisées dans une chaîne de données SQL vulnérable. Généralement les chaînes de données visées incluent les procédures enregistrées et les paramètres d'entrée des applications Web. Ces informations injectées sont ensuite envoyées vers la base de données où elles sont exécutées. En utilisant l'injection SQL, les auteurs d'attaques peuvent obtenir l'accès illimité à l'ensemble d'une base de données.
Menace n° 6 – Faiblesse de l’audit natif
Un enregistrement automatique de toutes les transactions de bases de données sensibles et/ou inhabituelles devrait être la base sous-jacente de tout déploiement de base de données. Une faible règle d'audit des bases de données représente un sérieux risque organisationnel.
Menace n° 7 – Déni de service
Le déni de service (DOS - Denial Of Service) est une catégorie d'attaque générale par laquelle l'accès aux applications réseau est refusé à certains utilisateurs. Les conditions de déni de service peuvent être créées par de nombreuses techniques, parmi lesquelles beaucoup sont liées aux vulnérabilités mentionnées précédemment.
Par exemple, le déni de service peut être obtenu en profitant de la vulnérabilité d'une plate-forme de bases de données pour faire tomber un serveur. D'autres techniques communes de déni de service incluent la corruption de données, l'engorgement du réseau et la surcharge en ressources du serveur (mémoire, unité centrale, etc.).
Menace n° 8 – Vulnérabilités des protocoles de communication des bases de données
Un nombre croissant de vulnérabilités de sécurité est identifié dans les protocoles de communication conçus par tous les fournisseurs de bases de données. Quatre des sept correctifs de sécurité inclus dans les deux derniers packs de correction IBM DB2 traitent des vulnérabilités des protocoles de type 1. De la même façon, 11 des 23 vulnérabilités de bases de données corrigées dans le dernier correctif trimestriel d'Oracle ont un rapport avec les protocoles. Les activités frauduleuses prenant pour cible ces vulnérabilités peuvent aller de l'accès aux données non autorisées à la corruption de données, en passant par le déni de service.
Menace n° 9 – Copies non autorisées de données sensibles
De nombreuses entreprises s'efforcent de localiser toutes leurs bases de données et de les inventorier de manière appropriée. Cependant, de nouvelles bases peuvent être créées sans que l'équipe responsable de la sécurité soit au courant et les données sensibles copiées peuvent être ainsi exposées si les contrôles nécessaires ne sont pas appliqués. Ces bases de données « cachées » peuvent contenir des informations potentiellement sensibles telles que les détails des transactions, ainsi que les coordonnées des clients et des employés. Cependant, si les personnes chargées de la sécurité ne connaissent pas le contenu de ces bases, il est difficile de s'assurer que les contrôles nécessaires ont été mis en place. Que ce soit de manière intentionnelle ou non, les employés ou les pirates informatiques peuvent alors accéder illégalement aux données sensibles.
Menace n° 10 – Exposition de données de sauvegarde
Les dispositifs de sauvegarde de bases de données auxiliaires ne sont généralement pas protégés contre d'éventuelles attaques. Par conséquent, plusieurs violations de sécurité importantes ont vu le jour, y compris le vol de disques durs et de bandes de sauvegarde de bases de données.