Les menaces les plus dangereuses pour les bases de données et comment les prévenir

Toutes les organisations utilisent des bases de données dans une certaine mesure, que ce soit pour gérer des ensembles de données simples et peu volumineux, comme le carnet d’adresses d’une secrétaire, ou de vastes référentiels de données (Big Data) pour l’analyse d’informations stratégiques.

Le dénominateur commun de toutes ces bases de données est qu’elles doivent être protégées contre les nombreux risques auxquels elles sont confrontées, les principaux étant la perte, l’altération et le vol d’informations. D’autres risques, moins critiques mais également dangereux, incluent la dégradation des performances et la violation des accords de confidentialité ou de protection de la vie privée.

Les mécanismes de sécurité utilisés pour protéger les réseaux d’une organisation peuvent repousser certaines tentatives d’attaques contre les bases de données. Toutefois, certains risques sont propres aux systèmes de bases de données (SGBD) et nécessitent des mesures, des techniques et des outils de sécurité spécifiques.

Menaces affectant les bases de données

Vous trouverez ci-dessous une liste des menaces les plus courantes qui pèsent sur les bases de données aujourd’hui et qui doivent être atténuées en renforçant les serveurs de bases de données et en ajoutant quelques procédures aux techniques courantes de sécurité et d’audit.

Gestion inadéquate des autorisations

Plus souvent qu’on ne veut l’admettre, les serveurs de base de données sont installés dans les entreprises avec leurs paramètres de sécurité par défaut, et ces paramètres ne sont jamais modifiés. Les bases de données sont donc exposées aux attaquants qui connaissent les autorisations par défaut et savent comment les exploiter.

Il y a aussi le cas de l’abus des permissions légitimes : les utilisateurs qui utilisent leurs privilèges de base de données pour en faire un usage non autorisé – par exemple, en divulguant des informations confidentielles.

L’existence de comptes inactifs constitue également un risque de sécurité souvent négligé, car des personnes malveillantes peuvent connaître l’existence de ces comptes et en profiter pour accéder aux bases de données sans autorisation.

Attaques par injection de base de données

La principale forme d’attaque par injection de base de données est l’attaque par injection SQL, qui s’attaque aux serveurs de bases de données relationnelles (SGBDR) utilisant le langage SQL. Les bases de données NoSQL, telles que MongoDB, RavenDB ou Couchbase, sont immunisées contre les attaques par injection SQL, mais sont sensibles aux attaques par injection NoSQL. Les attaques par injection NoSQL sont moins courantes mais tout aussi dangereuses.

Les attaques par injection SQL et NoSQL fonctionnent toutes deux en contournant les contrôles de saisie de données des applications web afin de transmettre des commandes au moteur de la base de données et d’exposer ses données et ses structures. Dans les cas extrêmes, une attaque par injection réussie peut donner à l’attaquant un accès illimité au cœur d’une base de données.

Vulnérabilités exploitables dans les bases de données

Il est courant que les services informatiques des entreprises ne corrigent pas régulièrement le logiciel de base de leur SGBD. Ainsi, même si une vulnérabilité est découverte et que le fournisseur publie un correctif pour l’éliminer, il peut s’écouler des mois avant que les entreprises ne corrigent leurs systèmes. Il en résulte que les vulnérabilités restent exposées pendant de longues périodes, ce qui peut être exploité par les cybercriminels.

Les principales raisons pour lesquelles les SGBD ne sont pas corrigés sont, entre autres, la difficulté de trouver une fenêtre de temps pour arrêter le serveur et effectuer la maintenance, les exigences complexes et fastidieuses pour tester les correctifs, le flou quant à la personne responsable de la maintenance du SGBD et la charge de travail excessive des administrateurs de système.

Existence de serveurs de base de données cachés

Le non-respect des politiques d’installation de logiciels dans une organisation (ou l’absence de telles politiques) amène les utilisateurs à installer des serveurs de base de données à leur guise pour répondre à des besoins particuliers. Il en résulte l’apparition sur le réseau de l’organisation de serveurs dont les administrateurs de la sécurité n’ont pas connaissance. Ces serveurs exposent des données confidentielles à l’organisation ou présentent des vulnérabilités qui peuvent être exploitées par des attaquants.

Sauvegardes accessibles

Bien que les serveurs de base de données soient protégés par une couche de sécurité, les sauvegardes de ces bases de données peuvent être accessibles à des utilisateurs non privilégiés. Dans une telle situation, il existe un risque que des utilisateurs non autorisés fassent des copies des sauvegardes et les montent sur leurs propres serveurs pour en extraire les informations sensibles qu’elles contiennent.

Techniques et stratégies de protection des bases de données

Pour assurer une protection adéquate des bases de données d’une organisation, il est nécessaire de disposer d’une matrice défensive de meilleures pratiques, combinée à des contrôles internes réguliers. La matrice des meilleures pratiques comprend les éléments suivants :

Gérer les droits d’accès des utilisateurs et éliminer les privilèges excessifs et les utilisateurs inactifs.
Former les employés aux techniques d’atténuation des risques, y compris la reconnaissance des cybermenaces courantes telles que les attaques de spear-phishing, les meilleures pratiques concernant l’utilisation d’Internet et du courrier électronique, et la gestion des mots de passe.
Évaluez les vulnérabilités des bases de données, identifiez les points d’accès compromis et classez les données sensibles.
Surveillez toutes les activités d’accès aux bases de données et les modèles d’utilisation en temps réel pour détecter les fuites de données, les transactions SQL et Big Data non autorisées, ainsi que les attaques de protocole/système.
Automatisez l’audit grâce à une plateforme de protection et d’audit des bases de données.
Bloquez les requêtes web malveillantes.
Archivez les données externes, chiffrez les bases de données et masquez les champs de base de données pour dissimuler les informations sensibles.

Outils de sécurité des bases de données

Les techniques susmentionnées exigent beaucoup d’efforts de la part du service informatique de l’organisation et, bien souvent, le personnel informatique n’est pas en mesure de mener à bien toutes ses tâches, de sorte que les tâches nécessaires à la sécurisation des bases de données sont laissées en suspens. Heureusement, quelques outils facilitent ces tâches, de sorte que les dangers qui menacent les bases de données ne les affectent pas.

Scuba Database Vulnerability Scanner

Scuba est un outil gratuit et facile à utiliser qui offre une visibilité sur les risques de sécurité cachés dans les bases de données d’une organisation. Il propose plus de 2 300 tests d’évaluation pour les bases de données Oracle, Microsoft SQL, Sybase, IBM DB2 et MySQL, qui détectent toutes sortes de vulnérabilités et d’erreurs de configuration.

Grâce à ses rapports clairs et concis, Scuba révèle quelles sont les bases de données à risque et quels risques se cachent dans chacune d’entre elles. Il fournit également des recommandations sur la manière d’atténuer les risques identifiés.

Les analyses Scuba peuvent être effectuées à partir de n’importe quel client Windows, Mac ou Linux. Une analyse typique avec cet outil prend entre 2 et 3 minutes, en fonction de la taille des bases de données, du nombre d’utilisateurs et de groupes, et de la vitesse de la connexion réseau. Il n’y a pas de conditions préalables à l’installation, si ce n’est que le système d’exploitation doit être à jour.

Bien que Scuba soit un outil autonome gratuit, Imperva l’inclut dans sa gamme de produits spécifiques pour la sécurité des données, offrant la protection et la sécurité des données dans le nuage, la confidentialité des données et l’analyse du comportement des utilisateurs.

centre de contrôle dbWatch

dbWatch est une solution complète de surveillance et de gestion des bases de données prenant en charge Microsoft SQL Server, Oracle, PostgreSQL, Sybase, MySQL et Azure SQL. Elle est conçue pour effectuer une surveillance proactive et automatiser autant que possible la maintenance de routine dans les environnements de bases de données à grande échelle sur site, hybrides ou en nuage.

dbWatch est hautement personnalisable et couvre le flux de travail des administrateurs de bases de données, de la surveillance à l’administration, en passant par l’analyse et la création de rapports. Les utilisateurs de l’outil soulignent sa capacité à découvrir facilement les serveurs, y compris les serveurs virtuels. C’est un excellent avantage pour la gestion et le suivi des actifs informatiques, qui facilite la détermination des coûts et l’évaluation des risques.

Bien qu’offrant de grandes fonctionnalités, la courbe d’apprentissage de dbWatch est abrupte. Attendez-vous donc, après l’achat de l’outil, à ce que les procédures d’installation et la formation prennent un certain temps avant que l’outil ne fonctionne à 100 %. Une version d’évaluation gratuite et limitée dans le temps peut être téléchargée.

AppDetectivePRO

AppDetectivePRO est un scanner de bases de données et de Big Data qui peut immédiatement découvrir des erreurs de configuration, des problèmes d’identification/de contrôle d’accès, des correctifs manquants, ou toute combinaison toxique de configurations qui pourrait causer des fuites de données, des modifications non autorisées d’informations, ou des attaques par déni de service (DoS).

Grâce à sa configuration simple et à son interface conviviale, AppDetectivePRO peut immédiatement découvrir, évaluer et rendre compte de la sécurité, des risques et de la posture de sécurité de n’importe quelle base de données ou référentiel Big Data au sein de l’infrastructure d’une organisation – que ce soit sur site ou dans le nuage – en quelques minutes.

AppDetectivePRO peut être utilisé en complément des scanners pour les systèmes d’exploitation hôte ou réseau et les applications statiques ou dynamiques. Sa gamme d’options offre plus de 50 politiques de conformité et de configuration prêtes à l’emploi, sans nécessiter la maintenance de scripts SQL pour la collecte de données.

DbDefence

DbDefence est un outil de sécurité pour les bases de données résidant sur Microsoft SQL Server. Il se caractérise par sa facilité d’utilisation, son accessibilité et son efficacité à crypter des bases de données complètes et à protéger leurs schémas, en empêchant complètement l’accès aux bases de données, même pour les utilisateurs ayant les privilèges les plus élevés.

Encryption fonctionne côté serveur, permettant à un administrateur autorisé de crypter et décrypter les bases de données en toute sécurité, sans qu’il soit nécessaire de modifier les applications qui y accèdent. L’outil fonctionne avec toutes les versions de SQL Server postérieures à 2005.

DbDefence fonctionne au niveau du fichier et de l’objet SQL, ce qui le différencie des autres logiciels de cryptage du serveur SQL. Il peut distinguer les objets qui ont fait l’objet d’une tentative d’accès et ceux dont l’accès a été refusé ou autorisé.

Pour inclure DbDefence dans une solution, il n’est pas nécessaire d’acheter des licences pour chaque application client. Une seule licence de redistribution suffit pour l’installer sur un nombre quelconque de clients.

OScanner

OScanner est un outil d’analyse et d’évaluation des bases de données Oracle développé en Java. Il possède une architecture basée sur des plugins, et dispose actuellement de plugins pour les fonctions suivantes :

Énumération de Sid
Test de mot de passe (commun et dictionnaire)
Enumération de la version d’Oracle
Enumération des rôles, privilèges et hachages des comptes d’utilisateurs
Recensement des informations d’audit
Enumération des politiques de mots de passe
Enumération des liens vers les bases de données

Les résultats sont présentés sous la forme d’un arbre graphique Java. L’outil fournit également un format de rapport XML succinct et une visionneuse XML intégrée pour visualiser le rapport. L’installation de l’outil ne nécessite qu’un environnement d’exécution Java et le fichier d’installation (zip) de l’OScanner.

OScanner fonctionne de manière similaire à la fonction de devinette de mot de passe d’Oracle Auditing Tool (OAT opwg), en utilisant le fichier .default des comptes pour obtenir les paires nom d’utilisateur/mot de passe par défaut. Il diffère de l’outil Oracle en ce sens qu’il tente également de deviner les comptes ayant le même nom d’utilisateur et le même mot de passe.

gestionnaire de sécurité dbForge

Security Manager fait partie de la suite dbForge Studio for MySQL, en y ajoutant un outil puissant pour gérer la sécurité dans les bases de données MySQL. Avec des fonctionnalités étendues et une interface utilisateur pratique et conviviale, il vise à faciliter les tâches routinières d’administration de la sécurité, telles que la gestion des comptes utilisateurs et des privilèges de MySQL.

L’utilisation d’un gestionnaire de sécurité améliore la productivité du personnel informatique. Il offre également d’autres avantages, comme le remplacement des opérations complexes en ligne de commande par une gestion visuelle plus simple des comptes d’utilisateurs MySQL et de leurs privilèges. L’outil permet également d’accroître la sécurité des bases de données, grâce à des procédures de gestion simplifiées qui minimisent les erreurs et réduisent le temps nécessaire au personnel d’administration.

Grâce aux cinq onglets de la fenêtre du gestionnaire de sécurité, vous pouvez créer des comptes d’utilisateurs en quelques clics, en accordant à chacun d’entre eux des privilèges globaux et des privilèges d’objets. Une fois les comptes créés, vous pouvez revoir leurs paramètres en un coup d’œil pour vous assurer que vous n’avez pas fait d’erreur.

Vous pouvez télécharger une version entièrement gratuite de dbForge Studio for MySQL, qui offre des fonctionnalités de base. Ensuite, il y a les versions Standard, Professionnelle et Entreprise, dont les prix s’échelonnent jusqu’à environ 400 $.

Le mot de la fin : Des bases de données vraiment sécurisées

Il est courant que les organisations pensent que leurs données sont sécurisées uniquement parce qu’elles disposent de sauvegardes et de pare-feu. Or, il existe de nombreux autres aspects de la sécurité des bases de données qui vont au-delà de ces mesures de sécurité. Lors de la sélection d’un serveur de base de données, l’organisation doit tenir compte des aspects énumérés ci-dessus, qui impliquent tous de donner aux serveurs de base de données l’importance qu’ils ont dans la gestion stratégique des données critiques d’une organisation.

Editorial Staff
Contributeur
- LinkedIn
L’équipe d’experts de Geekflare se consacre avec passion au partage de contenus utiles, d’informations et de conseils personnalisés pour aider les particuliers et les entreprises à prospérer dans le monde numérique.