SECURITE 
Sommaire Sécurité
Oracle adapte sa politique de sécurité à la réalité du terrain
Essuyant régulièrement des critiques, Oracle formalise le rythme de publication de ses correctifs et sa communication. Une étape obligatoire pour l'éditeur qui qualifie ses produits «d'incassables».  (19/01/2007)
  En savoir plus
 Les hackers célèbres
 Bras de fer entre des chercheurs en sécurité et Oracle
A l'occasion de la publication de son premier bulletin en sécurité de l'année 2007, le spécialiste des bases de données et des applications métiers a donné un premier exemple de sa nouvelle politique en matière de gestion des vulnérabilités.

En corrigeant 51 failles, dont 34 susceptibles de donner un accès distant sans authentification à ses produits, l'éditeur donne cette fois des détails avancés, préparant les administrateurs systèmes à l'installation des correctifs. De même, il s'agit du premier bulletin de sécurité trimestriel de l'éditeur qui inaugure ainsi un nouveau rythme de diffusion, alors qu'il s'organisait jusqu'alors au rythme de l'actualité.

Le CPU (Critical Patch Update) précise désormais quels sont les modules et les applications précisément affectés par les correctifs. De même, une semaine avant son lancement, l'éditeur envoie désormais une alerte à ses clients sur le modèle des patchs mensuels Microsoft. Même la date de sortie se veut désormais réglée comme une horloge, le prochain CPU devrait donc être publié dans la semaine du 19 au 23 février 2007.

Une démarche qui s'accompagne d'un nouvel indice : le Common Vulnerability Scoring System, qui attribue à chaque correctif une note de 1 à 10 soulignant son niveau de criticité. Là encore, le système est calqué sur la concurrence mais a fait ses preuves depuis longtemps. Cette nouvelle politique va aussi permettre aux clients de mieux suivre le rythme des correctifs, sans se trouver dans la précipitation.

Un rythme mensuel pour réduire la fenêtre d'opportunité des pirates
En effet, au mois d'octobre, Oracle sort l'un de ses plus gros CPU : 101 failles corrigées, un gâteau relativement indigeste pour les administrateurs systèmes qui, derrière, doivent encore faire des tests de non-régression et de compatibilité.

Le rythme mensuel étalera ainsi la quantité d'informations à traiter, tout en réduisant la fenêtre d'opportunité pour les pirates informatiques, toujours à l'affût des failles pour sortir des codes les exploitant.

Et sur ce critère, Oracle affiche un léger retard face à son concurrent Microsoft. David Litchfield, directeur de la société NGS Software et consultant en sécurité, relevait lors d'une étude comparative entre Oracle Database et Microsoft SQL Server que le nombre de failles détectées par des chercheurs en sécurité indépendants, puis corrigées par les deux éditeurs, était 4 fois supérieur chez Oracle (233 failles contre 59 chez Microsoft). Cette étude, sortie fin novembre 2006, porte sur la période 2000-2006.

  En savoir plus
 Les hackers célèbres
 Bras de fer entre des chercheurs en sécurité et Oracle
Plutôt mal vu par les chercheurs indépendants, Oracle a donc préféré prendre l'initiative, après toutefois plus de deux ans de sollicitations régulières. Dernièrement, le spécialiste Cesar Cerrudo, fondateur et dirigeant d'Argeniss, a proposé d'appliquer le concept de "mois de la sécurité" - les chercheurs indépendants en sécurité dévoilant pendant un mois des failles concernant un éditeur ou un produit donné - aux produits Oracle.

 
 
Yves DROTHIER, JDN Solutions Sommaire Sécurité
 
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters