Les attaques par injection de code malveillant via des requêtes SQL (SQLi) ont beau être presque vielles comme le monde, elles n'en demeurent pas moins dangereuses. Constituant une porte d'entrée vers le SI d'une entreprise via un site, service ou application web présentant une faille de sécurité, les attaques SQLi aiguisent bien entendu l'appétit des cybercriminels.
Dernièrement, un opérateur malveillant a indiqué avoir compilé 22 bases de données contenant des failles SQLi concernant un très grand nombre d'entreprises, dont 168 françaises. Parmi lesquelles des groupes comme Auchan, Axa, Banques Populaires ou encore Agnès b. La publication de ces failles s'accompagne d'une mise aux enchères pour permettre aux cybercriminels d'en tirer profit. Si les attaques de type SQLi sont courantes, en ce moment ce sont surtout celles permettant de pirater des accès et services distants (Citrix, VPN...) qui sortent du lot.
Un scénario pour extorquer encore plus facilement les victimes
Quoi qu'il en soit, la publication de failles SQLi de cette ampleur couplée à une mise aux enchères a tout de même de quoi surprendre. « Si 168 entreprises ont été touchées simultanément par la même faille, il y a deux solutions : soit il s'agit d'un même logiciel utilisé par toutes ces entreprises et dont une faille web a été scannée par un cybercriminel, soit il s'agit potentiellement d'une attaque via un fournisseur de services IT qui hébergeait des informations de ces entreprises », nous a expliqué Gérome Billois, partner cybersécurité et confiance numérique chez Wavestone.
Si le scénario d'une « véritable » cyberattaque est sur la table, il ne faut toutefois pas écarter totalement une autre voie empruntée par des cybecriminels qui tenteraient d'extorquer un peu facilement des fonds à de potentiels clients. « On peut imaginer un scénario alternatif où les cybercriminels ont en fait réussi à casser un site tiers et récupérer des dossiers contenant simplement les noms des entreprises », poursuit Gérôme Billois.
L'investigation avant la gestion de crise
Quel que soit le scénario, les entreprises concernées par ce hack potentiel ont tout intérêt à agir et lancer rapidement une investigation avant de déclencher éventuellement une gestion de crise cyber. « La surveillance cyber et la threat intell doivent remonter l'alerte, et une analyse doit être lancée pour identifier, sur les centaines sites web et de fournisseurs d’où peut provenir le problème. Après, suivant quelles données sont concernées, métiers, clients ou collaborateurs, il pourra être nécessaire de passer en crise et notifier l'incident aux autorités », conclut Gérôme Billois.