AlcionTech

L'injection SQL est une faille de sécurité présente dans de nombreux systèmes. Par exemple si vous saisissez comme login a' or 't'='t dans un système qui va valider le login par une requête SQL élaborée ainsi :

statement := "SELECT * FROM users WHERE name = '" + login + "';"

conduit à exécuter la requête SQL suivante :

SELECT * FROM users WHERE name = 'a' or 't'='t';

La clause where étant toujours vraie, la requête retourne tous les utilisateurs de la table... Encore plus dangereux, si le login saisi est a';DROP TABLE users; SELECT * FROM data WHERE name LIKE '%, ce qui exécute :

SELECT * FROM users WHERE name = 'a';DROP TABLE users; SELECT * FROM data WHERE name LIKE '%';

qui supprime la table des users ! Heureusement, ce fonctionnement ne serait possible que sous Microsoft SQL Server.

Outils de détection

Security Hacks a élaboré une liste des 15 meilleurs scanners pour ce type de vulnérabilité ; voici les 3 premiers :

SQLIer - SQLIer takes a vulnerable URL and attempts to determine all the necessary information to exploit the SQL Injection vulnerability by itself, requiring no user interaction at all. Get SQLIer.

SQLbftools - SQLbftools is a collection of tools to retrieve MySQL information available using a blind SQL Injection attack. Get SQLbftools.

SQL Injection Brute-forcer - SQLibf is a tool for automatizing the work of detecting and exploiting SQL Injection vulnerabilities. SQLibf can work in Visible and Blind SQL Injection. It works by doing simple logic SQL operations to determine the exposure level of the vulnerable application. Get SQLLibf.

Les SIL sont une norme de l'IEC (International Electrotechnical Commission) (la 61508 pour être précis) que vous rencontrez immanquablement lorsque vous intervenez sur des systèmes électriques, électroniques ou informatiques dans le domaine du transport aérien ou ferroviaire (mais pas uniquement). Ils définissent la probabilité qu'une entité (cartes, programmes, etc) échoue à satisfaire une ou plusieurs fonctions de sécurité allouées. Il y a 5 niveaux, de SIL0 (pas de sureté) à SIL4 (sureté maximale). Un classement SIL4 peut facilement augmenter d'au moins 50% les couts de production d'un produit de par les efforts à déployer pour garantir la sécurité.

J'ai travaillé quelques mois chez CSEE Transport sur le logiciel de régulation de trafic de la future LGV Est (appelé RBC et composante essentielle de l'ERTMS). C'est typiquement le genre d'application classée SIL 4 car une mauvaise régulation peut entrainer une collision frontale, par l'arrière (rattrapage) ou latérale (écharpement au niveau d'un aiguillage) de trains lancés à 320 km/h. Je vous laisse imaginer les dégats humains potentiels.

Toutes les ~120.000 lignes de code exécutables du RBC ne sont pas de sécurité mais on avoisinne quand même les 90% (une conception drivée par les fonctions sécu aurait probablement fait baisser ce chiffre).

Qu'implique la production d'une application ferroviaire SIL4? La norme européenne 50128 balise le terrain en terme de méthodologie et de type d'outils en faisant de propositions allant du "optionnel" au "hautement recommandé" (comprendre "obligatoire"). Chaque société implémente ensuite cette norme dans son organisation.

Chez CSEE un département dédié suit un cycle en V parrallèle au cycle de production en interagissant avec lui à toutes les phases pour produire des documents (AFS, DASL, DASV) avalisés in fine par l'organisme de certification.

Depuis le 5 juin, on peut enfin jouer aux 17 jeux de tirage, de grattage et de pronostics de la Française des Jeux sur le web (www.fdjeux.com), grâce à la mise en production d'une version totalement nouvelle du site de jeu, en remplacement d'une architecture basée sur un client applet java et un serveur C/C++. Ce sont désormais près d'un million de comptes joueurs qui sont ouverts 24h/24 sur une plate-forme à laquelle AlcionGroup a collaboré de près, tant sur le plan de l'architecture, que de la gestion de projet et de l'industrialisation.

• Site JSP + jeux Flash/XML/webservices
• Back-end java, framework propriétaire, Tomcat, Oracle
• Plate-forme transactionnelle sécurisée full-https
• Performances : 5000 sessions simultanées, temps de réponse moyen < 0.3s, sur 24 processeurs AIX
• Système de porte-monnaie permettant le micro-paiement
• équipe de 10 développeurs + 10 testeurs, sur 10 mois.

Aujourd'hui, la Française des jeux peut espérer convertir une part significative des 8 milliards d'euros de CA vers le online et ainsi jouer dans la cours des grands de l'e-business français, derrière voyages-sncf.com mais dans le peloton de tête des ténors de la VPC (notamment fnac.com). Avec un avantage majeur pour le online : la possibilité de limiter les mises des joueurs, qui sont parfaitement identifiés, dans le cadre de la politique de "jeu responsable". Limitation impossible dans le réseau des points de vente traditionnels. Enfin, deux scoops :

• en 2007, on pourra également jouer depuis son mobile ; il s'agit d'une tendance lourde, comme on le voit par exemple au Japon ;
• les systèmes hautement sécurisés rendent honnête. Inutile donc de me demander si j'ai un truc, une martingale ou une backdoor !