L’attaque est un classique du genre, et surtout parfaitement menée : depuis la fin de l’année dernière des pirates sont parvenus à détourner entre 70.000 et 100.000 sites web à travers la planète grâce à une injection SQL développée spécifiquement pour Microsoft SQL Server.

Une injection SQL est une attaque capable d’exploiter un formulaire situé sur un site web afin de manipuler la base de données auquel il transmet ses informations. Une fois exploitée, une telle attaque permet au pirate de passer des commandes directement à la base de données et donc, essentiellement, d’en prendre le contrôle. C’est précisément ce qui s’est passé ces dernières semaines sur de nombreux sites web de confiance.

A l’origine de cet assaut on trouve un script automatisé chargé d’explorer le web. Il y recherche des sites web dont un formulaire pourrait être vulnérable à une attaque par injection SQL. Dans sa forme actuelle, l’attaque ne cible que Microsoft SQL Server, et par extension essentiellement des serveurs sous Windows et IIS. Mais on peut imaginer qu’elle soit adaptée à l’avenir au couple Apache / MySQL.

Une fois de tels sites trouvés – et ils sont nombreux – le script soumet directement au formulaire des informations piégées. Dans ce cas précis, c’est le traditionnel symbole ‘; qui est utilisé afin de forcer la base de données à accepter les informations supplémentaires concoctées par le pirate.

Ces informations forcent MS SQL Server à explorer la table sysobjects, un composant critique de SQL Server puisqu’il permet d’accéder à des informations structurelles sur l’ensemble de la base de données.

Au fil de cette exploration, le script insère une ligne HTML chargée d’appeler un code Javascript chaque fois qu’un enregistrement spécifique est appelé depuis la base de données. Ce code malicieux pointe vers un site dit « de rebond », chargé d’aller chercher une série d’exploits sur d’autres sites encore, situés en Chine. Ces derniers seront utilisés afin de compromettre le PC de l’utilisateur et, une fois compromis, de l’infecter par toute une série de malwares et autres adwares traditionnels.

Cette attaque est remarquable par son ampleur : elle a frappé des sites gouvernementaux américains et des sites d’éditeurs de logiciels, dont notamment celui du géant CA. A l’heure de la rédaction de cet article, Google montre 154.000 pages qui présentent la ligne d’appel du code Javascript malicieux depuis le site de rebond (toujours actif à cette heure).

Toutefois, selon la société Exploit Prevention Labs, récemment rachetée par AVG Grisoft, les sites sont désormais très rapidement nettoyés et les indications de Google ne sont pas à jour.

Une telle attaque est imparable du point de vue de l’internaute, car elle infecte les sites même où il se rend en toute confiance (après tout, CA est un fournisseur de solutions de sécurité !). La seule parade consiste à empêcher l’exécution de l’exploit téléchargé via le code Javascript, et pour cela seul un système à jour de ses correctifs, un antivirus récent et éventuellement une solution générique contre l’exploitation (de type sandboxing par exemple) permettra d’y échapper.