15 avril 2019
Judicaël Courant, expert R&D chez Orange Cyberdefense, a développé une méthode pour effectuer des requêtes SQL qui garantit l’invulnérabilité aux injections SQL. Celle-ci a été publiée dans la revue MISC de septembre-octobre.
Ce sont les audits de code qu’il a réalisés qui lui ont donné envie de réfléchir à cette question : il a constaté des vulnérabilités aux injections SQL, alors même que les développeurs utilisaient les outils généralement conseillés pour éviter ces injections (les requêtes préparées), parce qu’ils ne les utilisaient pas correctement, par manque de temps ou de formation. D’où son questionnement : peut-on proposer une méthode qui ne mette pas la sécurité en péril si elle mal utilisée ?
La méthode qu’il propose s’adresse aux développeurs et est inspirée d’un domaine de l’informatique qu’il connaît bien, celui de la compilation : alors que les développeurs manipulent les requêtes sous forme de chaînes de caractères, les compilateurs manipulent des arbres de syntaxe abstraite, qui sont des structures de données beaucoup plus adaptées pour manipuler des requêtes.
Pour aller plus loin, nous vous invitons à consulter l’article en cliquant sur le lien (article réservé aux abonnés).