Skip to content

Vous avez une injection SQL sur une application en production et pourriez extraire toute la base clients pour prouver l'impact. Quelle est la preuve responsable ?

Réponse courte

Prouvez la vulnérabilité sans nuire au client ni accumuler ses données : montrez que vous pouvez lire des données arbitraires via la version de la base, le schéma ou un seul échantillon anonymisé, puis arrêtez-vous. Extraire l'intégralité des données personnelles crée une responsabilité de notification de violation et de traitement pour les deux parties. Supprimer une table est destructeur et dépasse de loin la preuve de concept. Chiffrer la base et exiger une prime, c'est de l'extorsion, pas un test : c'est un délit, pas un constat.

L'objectif d'un test d'intrusion est de démontrer un risque pour qu'il soit corrigé, et non de réaliser ce risque contre le client. Avec une injection SQL, vous pouvez prouver la vulnérabilité de façon concluante sans jamais toucher de vraies données clients.

Pourquoi la démonstration minimale est la bonne réponse

Extrayez quelque chose qui prouve un accès en lecture arbitraire mais reste inoffensif : la version de la base, l'utilisateur courant, le schéma, un COUNT(*) d'une table sensible, ou un enregistrement unique aux champs sensibles masqués. Cette preuve est sans ambiguïté — elle montre que vous pouvez lire des données interdites — tout en ne laissant aucune donnée personnelle entre vos mains et sans créer de nouvelle violation. C'est la minimisation des données appliquée au travail offensif, et c'est exactement ce que fait un testeur mature.

Pourquoi les autres options sont fausses

  • Extraire toute la base clients. Dès que vous exfiltrez de vraies données personnelles, vous avez vraisemblablement causé vous-même une violation à notifier, déclenchant des obligations au titre du RGPD/CCPA et créant une responsabilité de conservation et de suppression pour vous comme pour le client. Un dump plus volumineux ne prouve pas mieux la faille qu'un nombre de lignes.
  • Supprimer une table. C'est destructeur et bien hors du cadre d'une preuve de concept. Prouver l'accès en écriture n'exige jamais d'endommager des données de production — on peut le démontrer plus sûrement (par exemple un marqueur bénin et réversible dans un champ non critique, uniquement si c'est autorisé).
  • Chiffrer la base et exiger une prime. C'est un rançongiciel et de l'extorsion. C'est un délit, point, et l'opposé de la relation de confiance dont dépend un test.

Ce que sonde un recruteur

Il veut de la retenue et une compréhension de la responsabilité. Un candidat faible assimile un dump spectaculaire à un impact impressionnant. Un bon candidat sait que la preuve la plus professionnelle est la plus petite qui tranche la question, car chaque octet supplémentaire de données clients que vous touchez est un risque que vous importez sur vous-même et sur votre client.

Questions de suivi probables

  • Comment prouver l'existence d'un accès en écriture sans réellement modifier ni détruire de données ?
  • Quelles obligations de protection des données s'appliquent dès que vous exfiltrez de vraies données personnelles ?
  • Comment documenteriez-vous sûrement le constat pour le rapport ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.