Discussion :

[Katleen Erna]

MAJ du 07.09.2009

Microsoft s'est enfin exprimé officiellement sur cette faille SQL et réfute en être à l'origine. L'entreprise se refuse donc a élaborer un correctif.

La firme américaine se dédouane totalement d'une quelconque responsabilité dans l'affaire, déclarant simplement que ce mode d'authentification est fortement déconseillé, en s'appuyant sur la 6ème loi immuable sur la sécurité informatique qu'elle avait publié en 2000 : "Un ordinateur n'est sécurisé que si son administrateur est digne de confiance".

Face à la passivité de Microsoft, Sentrigo a développé l'outil gratuit Passwordizer, permettant de chiffrer les mots de passe. Il est disponible en téléchargement ici.

Source : Le blog sécurité de Microsoft

Sécurité : Découverte d'une faille dans l'outil de gestion Microsoft SQLServer 2000, 2005 et 2008 permettant d'obtenir les mots de passe des utilisateurs

La société de sécurité californienne Sentrigo a découvert qu'une faille de sécurité avait pris ses quartiers dans le logiciel SQL Server 2008 de Microsoft. Il apparaît ainsi qu'un utilisateur disposant des droits d'administration sur le serveur serait en mesure d'afficher les mots de passe de tous les autres utilisateurs. Ces derniers sont sauvegardés dans la base de donnée et devraient normalement l'être sous une forme crytpée. En cause, la chaîne dédiée aux mots de passe qui serait clairement visible. Un administrateur peut normalement modifier un mot de passe n'étant pas le sien, mais il ne devrait pas être en mesure de le lire. Les sites basés sur un serveur SQL 200, 2005 et 2008 seraient vulnérables à cette faille.

Source : Les conclusions de Sentrigo