Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous

Identifiant
Mot de passe

Mot de passe oublié ?

Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Sécurité : Découverte d'une faille dans Microsoft SQLServer

Permettant d'obtenir les mots de passe des utilisateurs

Le 4 septembre 2009 à 05:40, par Katleen Erna

36 commentaires

20PARTAGES

Voter pour

1

Voter contre

0

Citation

Envoyé par Katleen Erna

Voir le message

MAJ du 07.09.2009

Microsoft s'est enfin exprimé officiellement sur cette faille SQL et réfute en être à l'origine. L'entreprise se refuse donc a élaborer un correctif.

La firme américaine se dédouane totalement d'une quelconque responsabilité dans l'affaire, déclarant simplement que ce mode d'authentification est fortement déconseillé, en s'appuyant sur la 6ème loi immuable sur la sécurité informatique qu'elle avait publié en 2000 : "Un ordinateur n'est sécurisé que si son administrateur est digne de confiance".

Face à la passivité de Microsoft, Sentrigo a développé l'outil gratuit Passwordizer, permettant de chiffrer les mots de passe. Il est disponible en téléchargement ici.

Source : Le blog sécurité de Microsoft

Sécurité : Découverte d'une faille dans l'outil de gestion Microsoft SQLServer 2000, 2005 et 2008 permettant d'obtenir les mots de passe des utilisateurs

La société de sécurité californienne Sentrigo a découvert qu'une faille de sécurité avait pris ses quartiers dans le logiciel SQL Server 2008 de Microsoft. Il apparaît ainsi qu'un utilisateur disposant des droits d'administration sur le serveur serait en mesure d'afficher les mots de passe de tous les autres utilisateurs. Ces derniers sont sauvegardés dans la base de donnée et devraient normalement l'être sous une forme crytpée. En cause, la chaîne dédiée aux mots de passe qui serait clairement visible. Un administrateur peut normalement modifier un mot de passe n'étant pas le sien, mais il ne devrait pas être en mesure de le lire. Les sites basés sur un serveur SQL 200, 2005 et 2008 seraient vulnérables à cette faille.

Source : Les conclusions de Sentrigo

Une erreur dans cette actualité ? Signalez-nous-la !

Votre nom : Votre e-mail :

Décrivez l'erreur que vous souhaitez porter à notre connaissance :

36 commentaires

Commenter Signaler un problème

Emmanuel Lecoester

Membre expert

Le 04/09/2009 à 7:07

Seuls les systèmes utilisant un authentification mixte ("SQL Server and Windows Authentication Mode"

sont exposées à cette faille.

La faille existe sur SQL Server 2000, SQL Server 2005, and SQL Server 2008 quelque soit la version de Windows.

Voter pour

1

Voter contre

0

Modérateur

Le 04/09/2009 à 8:49

On parle très probablement ici des mots de passe des utilisateurs SQL, qui n'ont rien à voir avec les utilisateurs Windows.

Ces mots de passe là, c'est généralement l'administrateur SQL qui les fixe en créant les utilisateurs, alors qu'il puisse les voir ne doit pas être si dramatique que ça.

Reste à savoir si d'autres user avec des droits restreints peuvent aussi arriver à les voir, là, ça pourrait peut-etre poser plus de problèmes.

Voter pour

1

Voter contre

0

Membre chevronné

Le 04/09/2009 à 9:41

Sentrigo, Inc., the innovator in database security software, today announced that it has discovered a significant vulnerability in Microsoft SQL Server

Ca sent pas le coup marketing du tout ça....

Quelle horreur, un DBA qui peut voir les mots de passe des users !

Voter pour

1

Voter contre

0

Membre du Club

Le 04/09/2009 à 10:20

Bien que cette faille ne soit pas trop critique, du fait que c'est l'administrateur qui a accès au mot de passe, il est quand même dangereux, de voir qu'un admin peut se servir de votre mot de passe pour faire n'importe quoi.

Voter pour

1

Voter contre

0

Membre chevronné

Le 04/09/2009 à 11:50

a quoi cela servirait alors qu´il soit administrateur sans le pouvoir de modifier vos coordonnées de login. Il ya differentes manieres de sauvegarder les mots de passes, mais l´administrateur a toujours acces a ceux-la, donc moi je ne vois pas ou se trouve le probleme.

Voter pour

1

Voter contre

0

Expert éminent

Le 04/09/2009 à 12:31

C'est un principe de base de la sécurité informatique : un administrateur d'un système doit avoir la main sur la gestion des mots de passe des utilisateurs (les invalider, etc.), mais il n'a pas à les connaître. Etant donné que la grosse majorité des utilisateurs emploient par commodité le même mot de passe pour accéder à différents systèmes, la moindre violation de confidentialité le rendrait immédiatement suspect.

Il est évident que ce principe est loin d'être respecté en toutes circonstances, mais dans le cas d'un SGBDR il le devrait...

Voter pour

1

Voter contre

0

Nouveau membre du Club

Le 04/09/2009 à 13:52

Citation

Envoyé par GrandFather

Voir le message

C'est un principe de base de la sécurité informatique : un administrateur d'un système doit avoir la main sur la gestion des mots de passe des utilisateurs (les invalider, etc.), mais il n'a pas à les connaître. Etant donné que la grosse majorité des utilisateurs emploient par commodité le même mot de passe pour accéder à différents systèmes, la moindre violation de confidentialité le rendrait immédiatement suspect.

Il est évident que ce principe est loin d'être respecté en toutes circonstances, mais dans le cas d'un SGBDR il le devrait...

Effectivement. C'est là que le bas blesse, comme on dit. Je serais curieux de voir quel pourcentage des utilisateurs utilisent un seul mot de passe pour toutes leurs applications!

Voter pour

1

Voter contre

0

Membre du Club

Le 04/09/2009 à 14:37

Se ne sont que les mots de passe des utilisateurs du serveur SQL Server, parce que les mots de passe Windows sont gardés dans l'Active Directory

Voter pour

1

Voter contre

0

Le 04/09/2009 à 15:52

Ouais, c'est pas bien, on est d'accord.
Ce n'est tout de même pas dramatique, la portée reste limitée.

Mais j'ai déjà travaillé sur une application livrée avec les mots de passe en clair dans la table Users... Ça fait pas très sérieux...

Voter pour

1

Voter contre

0

Membre actif

Le 04/09/2009 à 16:05

c'est pas une faille mais une fonctionnalité.

Voter pour

1

Voter contre

0

Commenter Signaler un problème

×

Vous avez un bloqueur de publicités installé.

Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.

Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.