Avant de penser aux solutions, il convient de dresser la liste des menaces les plus cruciales auxquelles les bases de données sont confrontées aujourd’hui.
- Injection SQL : Cette attaque utilise comme vecteur un script mal conçu sur un site web. En piégeant les données envoyées au site, un attaquant sera en mesure de passer des paramètres supplémentaires à la base de données, et d’en prendre le contrôle ou d’obtenir un accès illégitime. Potentiellement, toutes les pages qui acceptent des informations de l’utilisateur (essentiellement des formulaires web, mais pas uniquement) et les valident mal, peuvent être concernées par une injection SQL.
- Comptes utilisateurs par défaut : Les plus grandes bases de données sont livrées avec des comptes utilisateurs par défaut, souvent oubliés au moment de leur déploiement. La tendance est désormais à leur limitation, mais ils demeurent encore très courants sur des bases en production. Ils permettent à un attaquant d’obtenir un accès mineur sur le système afin d’y exploiter ensuite des failles locales.
- Trop de privilèges : Qu’il s’agisse de l'administrateur aux droits absolus, d’utilisateurs dont les droits ont étés copiés sur ceux d’autres collaborateurs pour se faciliter la vie ou encore d’applications à qui l’on donne un accès complet par simplicité, un accès trop lâche à la base de données est toujours à proscrire. Or, la facilité est souvent de mise dans ce domaine.
- Des programmes vulnérables : Enfin, plusieurs programmes peuvent présenter des vulnérabilités exploitées par un attaquant pour prendre le contrôle de la base ou de son serveur. Cela va du logiciel de gestion de la base de données (tous les éditeurs corrigent encore ou ont corrigé des vulnérabilités importantes), au système d’exploitation sur lequel elle s’appuie ou encore aux “procédures stockées” (des portions de code stockées dans la base de données au lieu d’être définies dans les applications). Certaines de ces dernières, notamment livrées par défaut, ont été à l’origine d’incidents de sécurité.
