Quoi? Mais keskecé que l’injection SQL?
Pour ceux qui ne le sauraient pas, l’injection SQL pour une application web est un équivalent à la grippe, un truc pas cool, qui fait bobo et qu’on pourrait simplement éviter (comme en se vaccinant par exemple, alors que le violent hacking brut-force pourrait trouver son analogie dans un bon vieux cancer du colon)…
L’injection SQL est le fait de rajouter un bout de code dans un champs d’un formulaire, de sorte qu’il soit interpréter par le moteur de base de données… c’est pas très dur à faire et aujourd’hui 90% (au moins) des sites sont complètement démuni contre ce type d’attaque.

Quels sont les risques?
Vous pouvez perdre une partie ou la totalité de vos données (suivant les cas, ce qui est déjà pas mal, avouez le…) ou voir vos données modifiées (comme un utilisateur standard passé en administrateur par exemple).

Comment se protéger
Il y a plusieurs moyens, l’idéal étant d’en cumuler certains pour assurer une sécurité maximale
- utilisez un utilisateur spécifique, qui a des droits restreints et ne pourra pas vider ou supprimer votre table de la base de données (mais cela ne l’empêche pas d’avoir dans certains cas les droits en suppression sur les données)
- utilisez des préfixes pour vos tables, pour éviter que votre table d’utilisateurs ne s’appelle user ou users, en ajoutant un prefix par exemple my_users, le nom de la table est beaucoup moins évident et donc un peu plus sûr. (pensez aussi quand vous installez des applications OpenSource type WordPress de ne pas laisser le préfixe standard toujours pour plus de sécurité)
- vérifiez et échappez toutes les données provenant des utilisateurs, en utilisant par exemple la fonction bien pratique mysql_real_escape_string en PHP… ne laissez aucune donnée brute, vérifiez au besoin, via une expression régulière…
- activez les protections internes (comme magic_quotes_gpc pour le PHP)
- utilisez des procédures stockées, là plus de soucis (ou presque) puisque les données sont passées en paramètres à votre moteur de base de données et non plus une requête dynamique.

C’est un type d’attaque trop souvent sous-estimé mais qui peut être dévastateur (et dramatique) pour votre système d’information.
C’est d’autant plus dangereux que c’est une attaque de bas niveau, tout le monde ou presque peut tenter sa chance, donc beware!
Si vous avez d’autres conseils ou anecdotes, n’hésitez pas, les commentaires vous sont ouverts…

Les chiffres sont assez effrayants (malgré mes recherches pas de chiffres pour le France):
- 47% des professionnels de la sécurité (qui ont répondu au sondage) ont constaté un vol d’ordinateur portable dans les douze derniers mois (source)
- D’après le FBI, le crime le plus commun, juste après l’usurpation d’identité, est le vol d’ordinateur portable. 2 millions d’ordinateurs portables ont été signalés volés, ce qui ne prend pas en compte ceux laissés dans les aéroports, cafés et terminaux de bus. (source)
- Quelques données inquiétantes: le nombre de vol d’ordinateurs portables à doublé en 2004, 97% des portables volés ne sont jamais récupérés… (source)

Des chiffres qui font peur…
Comment dont se protéger contre le vol de son ordinateur portable et surtout sécuriser les données (parfois sensibles) qu’il peut contenir?
- un sac ordinaire
Rien de plus reconnaissable qu’une sacoche Dell ou un messenger spécial portable, pour éviter que votre portable se fasse repérer par un éventuel voleur, optez pour un sac standard (que ce soit sac à dos ou messenger), optez plutôt pour une sacoche de protection pour votre précieux portable… cela évitera à votre portable de se fair repérer au premier coup d’oeil. (en même temps je dis ça t j’ai mon gros sac crumpler spécial portable…)

- locké en permanence
Peu importe où vous êtes, au travail, dans un café, etc… lockez votre portable. De préférence à un pied de table (pas comme un couillon, faites en sorte qu’en soulevant la table on ne puisse pas partir avec votre portable…). C’est loin d’être la sécurité absolue, mais cela dissuadera les voleurs occasionnels.

- faites des backups
C’est valable pour tous les ordinateurs, mais particulièrement pour les portables… évitez les pertes massives de données en faisant des sauvegardes de données régulières.

- mot de passe bios/système
Tentez une sécurisation minimum de votre système en utilisant un mot de passe système (c’est le moins que vous pouvez faire), dans certains cas et si le système vous le permet, vous pouvez aussi ajouter un mot de passe sur le BIOS (ce qui ne permettra pas au vilain voleur de ré-installer un système sur votre ordi sans le mot de passe, enfin en tout cas se sera beaucoup plus difficile pour lui)

- un système de repérage
Certaines entreprises vous permettent maintenant d’installer des logiciels qui en cas d’activation (et donc de vol du portable) envoient régulièrement des informations sur l’adresse ip de l’utilisateur. Cela permet de transmettre ces informations à la police et d’espérer retrouver sa précieuse machine.

- crypter ses données
Réservé pour les données ultra sensibles (on ne compte plus le nombre de cas de portables volés avec des données sensibles, comme des données personnelles, présentations, liste de clients, etc…) vous pouvez cripter vos documents.

- priez pour un voleur particulièrement débile…
Comme cet individu, qui vole un mac et sans faire exprès upload une photo de lui même sur le compte Flickr du propriétaire de l’ordinateur.

Avec l’augmentation du parc de portable, le nombre de vols augmente (c’est vrai que c’est plus facile à voler qu’un MacPro de 25 kilos)…
Et vous, déjà eut des ennuis de vols d’ordinateurs?

Parfois le web est rigolo… Une simple requête sur Google et vous voilà en possession de documents “confidentiels” (rien non plus de secrets défense, je vous rassure), mais quand même certains documents qui peuvent être embarassants…
Comment protéger vos documents sur le web et éviter que des personnes non habilitées n’y accèdent.

1. Protection côté serveur Web
Vous pouvez protéger certains répertoires et certains fichiers par des identifiants / mot de passe système sur votre serveur web (pour Apache c’est simplissime), vous définissez le répertoire en question, l’emplacement de l’identifiant, l’identifiant / mot de passe, et hop dès que quelqu’un tente d’accéder à votre répertoire, on lui demandera son mot de passe. Cette sécurité est assez basique mais fonctionne dans bien des cas et permet même à des travailleurs du web pas très branchés technique (via le panel ou menu d’administration de leur hébergeur) de sécuriser un répertoire.

2. Robot.txt
Parlez aux robots d’indexation… et dites leur les fichiers et répertoires à ne pas crawler, cela vous permettra de ne pas vous retrouver avec des indexations embarrassantes.

3. Pas de fichier accessible
Ne mettez pas vos fichiers accessibles, ce qui veut dire: stockez vos fichiers sans extension et sans entête… créez un code qui permettra suivant les droits de l’utilisateur de reconstituer les header et de transmettre le fichier… bon ce n’est pas complètement “bullet proof”, mais dans la majorité des cas c’est amplement suffisant.

4. Mot de passe sur vos fichiers
Pour protéger vos documents de tout vol, vous êtes surement au courant que beaucoup de logiciels (comme la suite de microsoft office par exemple) proposent de pouvoir locker (ou cadenasser en bon français) vos fichier… aussi bien en écriture qu’en lecture. Vous pourrez ainsi vous prévenir contre un éventuel vol de document. Attention toutefois, j’ai vu pas mal de logiciels qui se vantent de pouvoir casser relativement facilement ces mots de passes. Du moins cela rajoute une couche de sécurité sur vos documents ultra importants.

5. Ne rien mettre en ligne
C’est encore la meilleur des sécurité. Vous ne voulez pas vous faire piller vos fichiers confidentiels? Ne les mettez pas en ligne, ne les envoyez pas par mail, ne les imprimez pas… ne les écrivez pas, c’est plus sûr.
Blague à part, si vous êtes un peu paranoïaque ou que vous tenez vraiment au secret pour certains de vos documents, le moyen le plus simple reste encore de ne jamais le mettre à disposition sur le web.

Et vous c’est quoi vos techniques pour sécuriser vos documents?