Grenier Christophe
Directeur d'exploitation - Global SP, Paris
Titulaire d'un diplôme d'ingénieur de l'ESIEA, Christophe Grenier est Directeur d'exploitation chez Global SP où il dirige la production depuis 2011 en particulier les aspects liés à la sécurité, Linux et le réseau. Il enseigne au sein du Mastère spécialisé "Sécurité de l'Information et des Systèmes" de l'ESIEA depuis sa création en 2004.
Créateur et contributeur actif aux logiciels de récupération de données TestDisk & PhotoRec, il trouve parfois du temps pour contribuer à divers autres projets open source depuis 20 ans. Christophe Grenier est également contributeur au magazine GNU/Linux Magazine et à la revue de sécurité MISC.
SQL injection
Que se cache-t-il derrière les termes de « SQL injection » ? Le langage SQL, Structured Query Language, est le langage standardisé d'interrogation des bases de données. Les techniques d'injection SQL consistent à introduire du code supplémentaire dans une requête SQL. Elles permettent à un utilisateur malveillant de récupérer des données de manière illégitime ou de prendre le contrôle du système. Alors que les problèmes de sécurité réseau ou système sont plutôt bien connus, que les règles de filtrage réseau sont plus strictes que par le passé, que l'application rapide des correctifs de sécurité pallie les vulnérabilités système, la sécurité des applicatifs est souvent négligée. Le contexte des injections SQL est très varié. Il concerne toutes les applications utilisant une base SQL. On retrouve aussi bien les applications Web que les clients lourds. Identifier et exploiter une faille peut être assez simple si l'application retourne des messages d'erreurs spécifiques, mais peut être complexe en l'absence de message. On parle alors d'exploitation en aveugle. Enfin, on retrouve des applications n'effectuant aucun contrôle ou très peu sur les données entrées tandis que d'autres les filtrent efficacement. C'est un aperçu de cette richesse que va tenter de vous donner cet article.