Dans le cadre de sa campagne « Secure by Design », le FBI et la CISA, l'agence américaine de cybersécurité, ont publié des lignes directrices destinées aux développeurs pour remédier aux vulnérabilités d'injection SQL.
Ce programme, lancé par la CISA et le FBI, a pour objectif d'informer et d'avertir les développeurs de logiciels du potentiel des attaques par injection SQL et de fournir des techniques d'atténuation.
L'alerte « Secure by Design » a été publiée en réponse aux failles de Moveit Transfer qui affectaient des milliers d'utilisateurs. La gravité et l'apparition fréquente de ces problèmes de sécurité ont été soulignées dans un guide intitulé « Éliminer les vulnérabilités d'injection SQL dans les logiciels".
Depuis plus de 20 ans, les vulnérabilités des injections SQL sont soigneusement documentées et il existe des moyens testés pour les éviter. Malgré cela, les développeurs de logiciels ont continué à publier des produits présentant ces vulnérabilités, mettant ainsi en danger un grand nombre d’utilisateurs. Les injections SQL ont été classées comme vulnérabilités importantes par MITRE Corporation dès 2007, mais elles restent un problème de sécurité fréquent.
Le manuel de la CISA et du FBI décrit en détail les vulnérabilités de SQL et suggère des contre-mesures, comme l'utilisation d'« instructions préparées », publiées par MySQL en 2004. Ces instructions fournissent une méthode plus sécurisée que la vérification des entrées, qui est souvent moins efficace et plus difficile à déployer à grande échelle. Ils aident à séparer le code SQL des données utilisateur.
Les lignes directrices recommandent en outre que les dirigeants des éditeurs de logiciels s'approprient la sécurité des clients, éventuellement par le biais de révisions formelles du code, de rapports transparents sur les vulnérabilités de sécurité connues, de la création de CVE et de réorganisations organisationnelles axées sur la sécurité.
La campagne « Secure by Design » promeut l'intégration de mesures de sécurité à chaque étape du cycle de vie du développement logiciel, avec le soutien de CISA et de partenaires mondiaux. En plus d'aborder l'injection SQL, il fournit un guide sur la prévention du phishing et souligne les risques associés à l'utilisation de mots de passe par défaut, le tout dans le but de promouvoir un environnement en ligne plus sécurisé.
Code Labs Academy Cybersecurity Bootcamp : Apprenez la cybersécurité en ligne avec un financement