SECURITE 
Sommaire Sécurité
Bras de fer entre des chercheurs en sécurité et Oracle
Le mois du bug navigateur fait des émules. Pour contraindre Oracle à revoir sa copie en matière de sécurité, des chercheurs se préparent à inaugurer une semaine de divulgation de failles dans ses bases de données.  (28/11/2006)
  En savoir plus
 La politique de sécurité d'Oracle pointée du doigt
Dossier Failles
Oracle n'est pas particulièrement réputé pour la gestion des correctifs de ses produits. Ses détracteurs lui reprochent en effet la lenteur de son cycle de publication, qui entraîne à la fois l'allongement de la période d'exploitation des failles et oblige les entreprises à déployer en moyenne plus de 50 patchs.

La tâche de déploiement se trouvait d'ailleurs encore compliquée par le fait que l'éditeur n'accompagnait les différents bugs corrigés par ses mises à jour d'aucune mention précisant leur niveau de gravité. Oracle a toutefois répondu en partie aux attentes des utilisateurs en étoffant, en octobre dernier, ses bulletins de sécurité périodiques d'un score de sévérité s'échelonnant de 1 à 10.

Si l'éditeur a consenti à un effort, celui-ci reste pour des chercheurs en sécurité comme Cesar Cerrudo, fondateur et dirigeant d'Argeniss, proprement insuffisant. Selon l'expert, de trop nombreuses vulnérabilités demeurent encore sans correctifs. En conséquence de quoi, il a décidé d'engager un bras de fer avec Oracle pour le contraindre à accélérer la publication de ses mises à jour.

Cesar Cerrudo propose ainsi d'appliquer au domaine des bases de données la méthode utilisée par le chercheur HD Moore dans ceux des systèmes d'exploitation et des navigateurs Web. A l'image des opérations Month of Browser's bugs et Month of Kernel's bugs, il a annoncé son intention d'inaugurer en décembre, la semaine des bugs de base de données (The Week of Oracle Database Bugs WoODB).

Le programme de cette semaine de réjouissances est donc de dévoiler chaque jour une nouvelle faille. Le chercheur espère ainsi alerter les utilisateurs d'Oracle sur la gravité de la menace et les encourager à faire pression sur l'éditeur. Cesar Cerrudo pousse d'ailleurs l'ironie jusqu'à déclarer qu'une année de failles Oracle aurait été tout aussi réaliste.

233 failles corrigées dans les bases de données Oracle en 6 ans
Le fondateur d'Argeniss ne s'attend probablement pas à ce que l'éditeur lui simplifie la tâche. Des risques de poursuites en justice ne sont en effet pas écartés. Oracle n'a en tout cas fait aucun commentaire pour le moment. Mais peut être la firme est-elle déjà suffisamment affairée depuis la publication d'une étude comparative sur la sécurité de ses SGBD et de ceux de Microsoft.

David Litchfield, qui travaille pour la société NGS Software, a en effet conclu à la meilleure robustesse de SQL Server (7, 2000 et 2005) par rapport à Oracle (8, 9 et 10g). Sur le seul critère des failles corrigées durant les six dernières années, il en aurait dénombré 59 chez Microsoft et 233 chez Oracle. Le chercheur juge en outre SQL Server 2000 Service Pack 4 et PostgreSQL comme les bases de données les plus sécurisées du marché, loin devant Oracle.

  En savoir plus
 La politique de sécurité d'Oracle pointée du doigt
Dossier Failles
David Litchfield déclare également avoir informé l'éditeur de 49 vulnérabilités, jusqu'à ce jour non corrigées. Il ne serait cependant pas le seul, puisque plusieurs autres sociétés - dont Argeniss - auraient elles aussi contacté Oracle pour des motifs analogues, sans plus de succès.

 
 
Christophe AUFFRAY, JDN Solutions Sommaire Sécurité
 
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters