Oracle : une faille critique dans la base de données
Une faille qualifiée de critique a été repérée par des experts en sécurité dans la base de données Oracle Database 11g (Releases 1 et 2). Elle permet, à partir de la clé de session fournie par le serveur, de lancer à distance une attaque par force brute avant même que le processus d'authentification soit mené à terme, dans l'optique de récupérer le mot de passe d'un compte utilisateur.
En exploitant la faille, un pirate peut donc potentiellement obtenir l'accès complet à la base, pouvoir en lire et modifier les données. Une attaque par force brute consiste à essayer des millions de mots de passe pour trouver le bon. Et comme l'opération peut être menée avant que l'authentification soit réalisée, aucune erreur n'est enregistrée par le serveur. Le pirate n'est par conséquent pas repéré.
La faille a été découverte en mai 2010 par le chercheur en sécurité Esteban Martinez Fayo, qui a immédiatement informé Oracle de sa découverte. Pour l'heure, aucun correctif n'a encore été publié par l'éditeur. Cette faille ne concerne cependant pas la version 12 de la base de données, l'éditeur ayant modifié la méthode d'authentification de cette nouvelle édition pour contourner le problème.