 |
|
|
| |
|
|
|
| Bases de données : le danger vient de l'intérieur |
| Les applications clientes seraient privilégiées sur le front de la sécurité des accès, à la différence des sources de données qui resteraient trop souvent ouvertes...
(10/05/2005) |
|
Du côté des applications clientes, le niveau de sécurité des accès est globalement bon, s'accorde à penser la plupart des observateurs. "Politique de gestion des droits et mécanisme de connexion par mot de passe sont entrés dans les moeurs, que ce soit sur le front des applications Web que des outils métier", constate Yves Cointrelle, directeur associé chez Homsys-Aston.
L'état d'avancement de la réflexion serait bien différent sur le terrain des bases de données. "Très peu d'entreprises mettent en oeuvre des mesures de sécurité pour ce type de briques, hormis dans certains domaines de l'administration publique bien particulier telle que la défense", regrette Yves Cointrelle. "La plupart du temps en effet, les sociétés ont tendance à placer les enjeux de sécurité au niveau des applications utilisateurs, ainsi que des réseaux (pare-feu, etc.). Mais elles n'imaginent pas que l'espionnage industriel ou le piratage peut aussi venir de l'intérieur."
D'où la nécessité de disposer d'une stratégie rigoureuse de sécurisation sur ce créneau. Premières recommandations évoquées : remettre à plat la politique d'accès au serveur de données, puis créer éventuellement des vues logiques des bases (au sein des tables), étanches les unes des autres, auxquelles les utilisateurs pourront ensuite se connecter en fonction des droits associés à leurs profils - notamment dans le cas d'informations plus confidentielles. Encore trop rarement exploitée, cette possibilité est pourtant offerte par la plupart des éditeurs du marché.
| Des mots de passe trop souvent mal gérés |
"Souvent, on se rend compte que les mots de passe administrateur paramétrés par défaut par le fournisseur sont conservés... Ce qui facilite le travail des pirates", note Yves Cointrelle. Une telle démarche de remise à plat contribue également à se prémunir plus efficacement contre les éventuelles requêtes SQL malintentionnées. L'activation d'un module de suivi du trafic pouvant se révéler pertinent pour repérer ces éventuelles attaques, qui là encore peuvent venir de l'intérieur.
Enfin, les systèmes de base de données disposent de plus en plus de fonctions de chiffrement qui ne manquent pas d'intérêt dans l'optique de renforcer la robustesse du serveur.
La plupart de ces mécanismes reposent sur des algorithmes de cryptage dits à "clés secrètes". L'une des toutes premières technologies de ce type n'est autre que le fameux Data Encryption Standard (DES). Sa vocation : assurer le chiffrement des contenus stockés sur tout ou partie des tables, ou au sein de certaines colonnes uniquement.
De nombreux éditeurs se spécialisent dans le chiffrement de ce type de contenu. Parmi eux, on compte les éditeurs Oracle et IBM, qui proposent de telles fonctions pour leur serveur respectif. Certains fournisseurs font également de cette problématique leur cheval de bataille, sans être pour autant positionnés sur le terrain des solutions d'infrastructure : c'est le cas de l'américain RSA Security ou encore du français SafeLogic
notamment (voir l'article du 10/01/2003).
|
|
|
|
|
|
|
Dossier 