L'injection SQL, ainsi que la manipulation associée des chaînes de requête, est largement citée comme l'un des moyens les plus populaires de pirater un réseau ou un système utilisant la base de données relationnelle conventionnelle. (Lire Quand SQL ne suffit pas : contrôles pour de nouveaux centres de données massifs.)
Il ya un certain nombre de raisons à cela. Tout d'abord, l'utilisation de l'injection SQL pour obtenir un accès non autorisé au contenu de la base de données ne nécessite aucun outil spécial. Deuxièmement, cela peut se faire directement via Internet.
En manipulant une chaîne de requête allant d'un formulaire Web à un système hôte, les pirates peuvent faire toutes sortes de choses, y compris demander à la base de données de vider ses données. Partout où ces entrées entrantes ne sont pas correctement authentifiées et validées, il est extrêmement facile d’accéder à distance à une base de données.
Vous n'avez pas besoin de déchiffrer un mot de passe ou de trouver un moyen de contourner le cryptage ou quoi que ce soit d'autre : le pirate informatique saisit simplement l'instruction de requête modifiée et se déchaîne dans le système.
De plus, comme le soulignent certains experts, les pirates peuvent prendre des empreintes digitales dans les bases de données grâce à des recherches minutieuses. Dans de nombreux cas, il est relativement facile de déterminer le type de base de données utilisé par un réseau et, encore une fois, tout cela peut être fait à partir de n'importe quel ordinateur connecté.
Essentiellement, la manipulation d’une chaîne de requête est aussi simple que l’ajout de caractères alphanumériques à une chaîne. Il s’agit de l’un des types de piratage de bases de données les plus simples, les plus directs et les plus efficaces. Comparez cela avec quelque chose comme une attaque par déni de service ou une attaque par ransomware, qui nécessitent toutes deux une planification sophistiquée, et vous comprendrez pourquoi l'injection SQL est si populaire. (Lire Comment les entreprises devraient-elles réagir à une attaque de ransomware ?)
Il existe des moyens de bloquer les pirates informatiques – de désactiver l’injection SQL, mais les vulnérabilités sont si courantes qu’elles représentent une grande porte ouverte pour les pirates. L'usurpation d'identité et l'ingénierie sociale sont également populaires, mais l'injection SQL ne nécessite même pas que le pirate informatique trompe un utilisateur humain ! Il s’agit simplement de rechercher le bon point de pression et de l’utiliser.