IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 992
    Points
    75 992
    Par défaut Sécurité : Découverte d'une faille dans l'outil de gestion Microsoft SQLServer 2000, 2005 et 2008
    Citation Envoyé par Katleen Erna Voir le message
    MAJ du 07.09.2009

    Microsoft s'est enfin exprimé officiellement sur cette faille SQL et réfute en être à l'origine. L'entreprise se refuse donc a élaborer un correctif.

    La firme américaine se dédouane totalement d'une quelconque responsabilité dans l'affaire, déclarant simplement que ce mode d'authentification est fortement déconseillé, en s'appuyant sur la 6ème loi immuable sur la sécurité informatique qu'elle avait publié en 2000 : "Un ordinateur n'est sécurisé que si son administrateur est digne de confiance".

    Face à la passivité de Microsoft, Sentrigo a développé l'outil gratuit Passwordizer, permettant de chiffrer les mots de passe. Il est disponible en téléchargement ici.

    Source : Le blog sécurité de Microsoft
    Sécurité : Découverte d'une faille dans l'outil de gestion Microsoft SQLServer 2000, 2005 et 2008 permettant d'obtenir les mots de passe des utilisateurs

    La société de sécurité californienne Sentrigo a découvert qu'une faille de sécurité avait pris ses quartiers dans le logiciel SQL Server 2008 de Microsoft. Il apparaît ainsi qu'un utilisateur disposant des droits d'administration sur le serveur serait en mesure d'afficher les mots de passe de tous les autres utilisateurs. Ces derniers sont sauvegardés dans la base de donnée et devraient normalement l'être sous une forme crytpée. En cause, la chaîne dédiée aux mots de passe qui serait clairement visible. Un administrateur peut normalement modifier un mot de passe n'étant pas le sien, mais il ne devrait pas être en mesure de le lire. Les sites basés sur un serveur SQL 200, 2005 et 2008 seraient vulnérables à cette faille.

    Source : Les conclusions de Sentrigo

  2. #2
    Membre expert
    Avatar de Emmanuel Lecoester
    Profil pro
    Inscrit en
    février 2003
    Messages
    1 493
    Détails du profil
    Informations personnelles :
    Âge : 45
    Localisation : France, Nord (Nord Pas de Calais)

    Informations forums :
    Inscription : février 2003
    Messages : 1 493
    Points : 3 264
    Points
    3 264
    Par défaut
    Seuls les systèmes utilisant un authentification mixte ("SQL Server and Windows Authentication Mode") sont exposées à cette faille.

    La faille existe sur SQL Server 2000, SQL Server 2005, and SQL Server 2008 quelque soit la version de Windows.
    Emmanuel Lecoester
    => joomla addict.

  3. #3
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    janvier 2007
    Messages
    9 926
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 48
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2007
    Messages : 9 926
    Points : 26 898
    Points
    26 898
    Par défaut
    On parle très probablement ici des mots de passe des utilisateurs SQL, qui n'ont rien à voir avec les utilisateurs Windows.


    Ces mots de passe là, c'est généralement l'administrateur SQL qui les fixe en créant les utilisateurs, alors qu'il puisse les voir ne doit pas être si dramatique que ça.

    Reste à savoir si d'autres user avec des droits restreints peuvent aussi arriver à les voir, là, ça pourrait peut-etre poser plus de problèmes.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  4. #4
    Membre chevronné
    Profil pro
    Inscrit en
    février 2005
    Messages
    1 273
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : février 2005
    Messages : 1 273
    Points : 2 084
    Points
    2 084
    Par défaut
    Sentrigo, Inc., the innovator in database security software, today announced that it has discovered a significant vulnerability in Microsoft SQL Server
    Ca sent pas le coup marketing du tout ça....

    Quelle horreur, un DBA qui peut voir les mots de passe des users !

  5. #5
    Membre du Club
    Inscrit en
    février 2006
    Messages
    33
    Détails du profil
    Informations forums :
    Inscription : février 2006
    Messages : 33
    Points : 65
    Points
    65
    Par défaut
    Bien que cette faille ne soit pas trop critique, du fait que c'est l'administrateur qui a accès au mot de passe, il est quand même dangereux, de voir qu'un admin peut se servir de votre mot de passe pour faire n'importe quoi.

  6. #6
    Membre chevronné Avatar de jeffray03
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2008
    Messages
    1 496
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Allemagne

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : juillet 2008
    Messages : 1 496
    Points : 2 108
    Points
    2 108
    Par défaut
    a quoi cela servirait alors qu´il soit administrateur sans le pouvoir de modifier vos coordonnées de login. Il ya differentes manieres de sauvegarder les mots de passes, mais l´administrateur a toujours acces a ceux-la, donc moi je ne vois pas ou se trouve le probleme.

  7. #7
    Expert éminent
    Avatar de GrandFather
    Inscrit en
    mai 2004
    Messages
    4 587
    Détails du profil
    Informations personnelles :
    Âge : 51

    Informations forums :
    Inscription : mai 2004
    Messages : 4 587
    Points : 7 086
    Points
    7 086
    Par défaut
    C'est un principe de base de la sécurité informatique : un administrateur d'un système doit avoir la main sur la gestion des mots de passe des utilisateurs (les invalider, etc.), mais il n'a pas à les connaître. Etant donné que la grosse majorité des utilisateurs emploient par commodité le même mot de passe pour accéder à différents systèmes, la moindre violation de confidentialité le rendrait immédiatement suspect.

    Il est évident que ce principe est loin d'être respecté en toutes circonstances, mais dans le cas d'un SGBDR il le devrait...
    FAQ XML
    ------------
    « Le moyen le plus sûr de cacher aux autres les limites de son savoir est de ne jamais les dépasser »
    Giacomo Leopardi

  8. #8
    Nouveau membre du Club
    Inscrit en
    décembre 2002
    Messages
    23
    Détails du profil
    Informations forums :
    Inscription : décembre 2002
    Messages : 23
    Points : 29
    Points
    29
    Par défaut
    Citation Envoyé par GrandFather Voir le message
    C'est un principe de base de la sécurité informatique : un administrateur d'un système doit avoir la main sur la gestion des mots de passe des utilisateurs (les invalider, etc.), mais il n'a pas à les connaître. Etant donné que la grosse majorité des utilisateurs emploient par commodité le même mot de passe pour accéder à différents systèmes, la moindre violation de confidentialité le rendrait immédiatement suspect.

    Il est évident que ce principe est loin d'être respecté en toutes circonstances, mais dans le cas d'un SGBDR il le devrait...
    Effectivement. C'est là que le bas blesse, comme on dit. Je serais curieux de voir quel pourcentage des utilisateurs utilisent un seul mot de passe pour toutes leurs applications!
    Université Laval, Québec

  9. #9
    Membre du Club
    Inscrit en
    mars 2006
    Messages
    29
    Détails du profil
    Informations forums :
    Inscription : mars 2006
    Messages : 29
    Points : 46
    Points
    46
    Par défaut Quels mots de passe ?
    Se ne sont que les mots de passe des utilisateurs du serveur SQL Server, parce que les mots de passe Windows sont gardés dans l'Active Directory

  10. #10
    Invité
    Invité(e)
    Par défaut
    Ouais, c'est pas bien, on est d'accord.
    Ce n'est tout de même pas dramatique, la portée reste limitée.

    Mais j'ai déjà travaillé sur une application livrée avec les mots de passe en clair dans la table Users... Ça fait pas très sérieux...

  11. #11
    Membre actif
    Avatar de cherkaoui.j.e
    Inscrit en
    mai 2008
    Messages
    58
    Détails du profil
    Informations forums :
    Inscription : mai 2008
    Messages : 58
    Points : 233
    Points
    233
    Par défaut
    c'est pas une faille mais une fonctionnalité.

  12. #12
    ILP
    ILP est déconnecté
    Membre confirmé
    Avatar de ILP
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    mai 2002
    Messages
    257
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2002
    Messages : 257
    Points : 574
    Points
    574
    Par défaut
    Le problème de cette faille pourrai résider dans des injections SQL sur des bases de données non sécurisées. Par exemple, où l'utilisateur λ se connecterai avec des droits d'administrations.

    Plein de bases de données sont configurées comme ça .
    Les administrateurs pensent que quand dans leurs applis ne permet pas de modifier les droits d'utilisation, les utilisateurs ne peuvent pas y avoir accès .

  13. #13
    Expert éminent
    Avatar de Lyche
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    janvier 2007
    Messages
    2 523
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : janvier 2007
    Messages : 2 523
    Points : 6 433
    Points
    6 433
    Billets dans le blog
    4
    Par défaut
    Citation Envoyé par ILP Voir le message
    Le problème de cette faille pourrai résider dans des injections SQL sur des bases de données non sécurisées. Par exemple, où l'utilisateur λ se connecterai avec des droits d'administrations.
    Mais ça, c'est pas une faille technique, c'est à celui qui à configuré les accès qui n'a pas été professionnel et qui n'a pas fait son travail.
    Rejoignez la communauté du chat et partagez vos connaissances ou vos questions avec nous

    Mon Tutoriel pour apprendre les Agregations
    Consultez mon Blog SQL destiné aux débutants

    Pensez à FAQ SQL Server Ainsi qu'aux Cours et Tuto SQL Server

  14. #14
    Membre expérimenté
    Avatar de nyal
    Profil pro
    Inscrit en
    septembre 2002
    Messages
    622
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : septembre 2002
    Messages : 622
    Points : 1 399
    Points
    1 399
    Par défaut
    Citation Envoyé par ILP Voir le message
    Le problème de cette faille pourrai résider dans des injections SQL sur des bases de données non sécurisées. Par exemple, où l'utilisateur λ se connecterai avec des droits d'administrations.
    D'après ce que j'ai compris du rapport, la mot de passe est visible en clair en RAM quand un compte SQL Server réalise une connexion. Du fait du mode mixte de connexion, Microsoft doit peut être garder le password en clair pour réaliser l'authentification selon deux types qui n'ont pas obligatoirement le même format de hachage (md5 ou sha-1 ou CRYPT ou maison ou ...) (Pour rappel, une fois la fonction de hachage appliquée, on ne peut revenir en arrière théoriquement)
    Ce n'est pas donc réellement une faille. Il faut alors unifier les formats de hachage.
    Je suis peut être à côté de la plaque.

    Enfin, J'ai du mal à bien identifier le périmétre de la vulnérabilité. Le rapport n'est pas très clair. Dans une application lambda, il y'a souvent X utilisateurs de l'application mais utilisant le même compte SQL (compte purement technique avec un password aléatoirement généré). Cela ne doit impacter que le compte SQL qui est invisible pour un utilisateur.
    Je suis peut être encore à côté de la plaque.

  15. #15
    Membre habitué Avatar de lukeni2
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    février 2008
    Messages
    92
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Congo-Kinshasa

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Finance

    Informations forums :
    Inscription : février 2008
    Messages : 92
    Points : 198
    Points
    198
    Par défaut
    Citation Envoyé par B.AF Voir le message
    Ca sent pas le coup marketing du tout ça....

    Quelle horreur, un DBA qui peut voir les mots de passe des users !
    Il ne peut pas voir les mots de passe des utilisateurs Windows si l'authentification Windows est activé, en plus le fait pour un DBA de voir les mots de passe des utilisateurs n'est pas aussi drammatique que cela étant donné qu'il a le pouvoir de changer ce mot de passe s'il le veut.

  16. #16
    Membre expert
    Avatar de Emmanuel Lecoester
    Profil pro
    Inscrit en
    février 2003
    Messages
    1 493
    Détails du profil
    Informations personnelles :
    Âge : 45
    Localisation : France, Nord (Nord Pas de Calais)

    Informations forums :
    Inscription : février 2003
    Messages : 1 493
    Points : 3 264
    Points
    3 264
    Par défaut
    Pour moi cela apparait bien comme une faille de sécurité, l'environnement de production c'est pour stocker des données de production ! si un utilisateur à plus de droits qu'un autre et que l'autre récupère son mdp ben il peut faire plein de chose.

    A l'heure où le concept de déporter toute l'intelligence de l'application au niveau des données émerge, c'est une faille d'autant plus grande ! un développeur X d'une société de prestation se connecte en production avec un compte Y et récupère aussi bien les données que la gestion de celles-ci.

    Si un MVP qui passait par ici pouvait nous expliquer plus en détail je suis preneur (en détaillant l'explication de nyal).
    Emmanuel Lecoester
    => joomla addict.

  17. #17
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 992
    Points
    75 992
    Par défaut
    MAJ du 07.09.2009

    Microsoft s'est enfin exprimé officiellement sur cette faille SQL et réfute en être à l'origine. L'entreprise se refuse donc a élaborer un correctif.

    La firme américaine se dédouane totalement d'une quelconque responsabilité dans l'affaire, déclarant simplement que ce mode d'authentification est fortement déconseillé, en s'appuyant sur la 6ème loi immuable sur la sécurité informatique qu'elle avait publié en 2000 : "Un ordinateur n'est sécurisé que si son administrateur est digne de confiance".

    Face à la passivité de Microsoft, Sentrigo a développé l'outil gratuit Passwordizer, permettant de chiffrer les mots de passe. Il est disponible en téléchargement ici.

    Source : Le blog sécurité de Microsoft

  18. #18
    Expert éminent sénior
    Avatar de Skyounet
    Homme Profil pro
    Software Engineer
    Inscrit en
    mars 2005
    Messages
    6 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : Etats-Unis

    Informations professionnelles :
    Activité : Software Engineer
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2005
    Messages : 6 380
    Points : 13 309
    Points
    13 309
    Par défaut
    Citation Envoyé par Emmanuel Lecoester Voir le message
    Pour moi cela apparait bien comme une faille de sécurité, l'environnement de production c'est pour stocker des données de production ! si un utilisateur à plus de droits qu'un autre et que l'autre récupère son mdp ben il peut faire plein de chose.
    Oui mais là on parle d'un utilisateur avec des droits administrateurs sur SQL Server, un DBA quoi. Autrement dit il n'a pas besoin du mot de passe de l'utilisateur Y pour aller lire des données vu qu'il a tous les droits.
    Introduction à Silverlight 4 (new) ; Localisation d'une application Silverlight (new) ;
    Mon espace perso[/B]

    La connaissance s’acquiert par l’expérience, tout le reste n’est que de l’information. Albert Einstein[/SIZE]

  19. #19
    Membre expert
    Avatar de Emmanuel Lecoester
    Profil pro
    Inscrit en
    février 2003
    Messages
    1 493
    Détails du profil
    Informations personnelles :
    Âge : 45
    Localisation : France, Nord (Nord Pas de Calais)

    Informations forums :
    Inscription : février 2003
    Messages : 1 493
    Points : 3 264
    Points
    3 264
    Par défaut
    hello skyounet, merci pour ce complément. C'est la ligne de défense de Microsoft

    En fait ce n'est pas tant le fait que le DBA voit tout qui me gêne, c'est que le dba puisse se faire passer pour moi au niveau de la base vu qu'il a mon mdp
    Emmanuel Lecoester
    => joomla addict.

  20. #20
    Membre à l'essai
    Inscrit en
    septembre 2007
    Messages
    29
    Détails du profil
    Informations forums :
    Inscription : septembre 2007
    Messages : 29
    Points : 17
    Points
    17
    Par défaut
    ca ajoute en effet une légère difficulté si le DBA ne peut pas voir en clair le mot de passe.
    Mais je crois que si on a un DBA "malveillant", il trouvera toujours le moyen de faire ce qu il veut puisse qu il a presque tous les droits.
    C est bien de le savoir, et c est vrai qu au niveau principe: ce n est pas top.
    Mais il faut savoir relativiser... et je pense qu il y a tout de meme du marketing/pub la derriere / Sentrigo...

Discussions similaires

  1. Réponses: 3
    Dernier message: 12/04/2014, 15h08
  2. Réponses: 0
    Dernier message: 25/03/2014, 17h26
  3. Réponses: 25
    Dernier message: 27/01/2010, 12h43
  4. Réponses: 25
    Dernier message: 27/01/2010, 12h43
  5. Linux : Une faille dans le nouveau noyau 2.6.31
    Par ovh dans le forum Administration système
    Réponses: 20
    Dernier message: 23/09/2009, 13h48

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo