|
| |
| SECURITE |
| Oracle ni incassable, ni transparent ? |
| 34 failles auraient été découvertes par un chercheur indépendant dans la base de données du groupe... il y a 7 mois. Le correctif correspondant vient tout juste d'être publié.
(05/08/2004) |
|
David Litchfield, directeur de Next-Generation Security Software, met le deuxième éditeur de bases de données (32,6 % du marché en 2003 contre 35,7% pour IBM, selon Gartner) dans ses petits souliers. Le chercheur britannique a annoncé la découverte de pas moins de 34 failles, dont plusieurs sont critiques, dans la base de données d'Oracle.
Oracle, qui aime à qualifier son produit d'"inviolable" dans ses campagnes de communication, voit donc son image sérieusement écornée par les révélations de Litchfield. Et si c'est loin d'être la première alerte sur la sécurité de ce produit (voir notre article du 11/02/2002), il y a plus grave : c'est la réputation de sérieux de la firme qui est remise en cause.
Litchfield, qui a informé dès janvier 2004 Oracle des vulnérabilités rencontrées, aurait appris "il y a deux mois", donc début juin, qu'un patch fixant l'ensemble des problèmes était prêt. Mais Oracle aurait repoussé sa publication en raison de changements en cours dans sa politique de diffusion de correctifs.
Alors que la plupart des analystes considèrent Oracle comme un éditeur sérieux sur les questions de sécurité, Litchfield a accusé la société d'avoir agi "à courte vue en gardant ces patches sous le coude pendant des mois". Il estime qu'en raison de la gravité des failles, "les clients sont exposés à des risques inutiles".
Les failles découvertes résident principalement dans la dernière mouture de la base de données (10g), mais près de la moitié concernent aussi des versions plus anciennes. Au moins l'une d'elle permettrait à un hacker de prendre le contrôle de l'application.
| Un large éventail de vulnérabilités |
D'autres failles critiques permettraient à un utilisateur d'obtenir des droits d'administration, ou à de parfaits étrangers d'avoir accès à une partie du système. Parmi les 34 vulnérabilités, un large éventail est représenté, des buffer overflows aux mots de passe stockés en clair.
L'annonce de l'existence des failles
aurait donc été faite, sept mois après leur découverte, par Litchfield lui-même, à l'occasion de la conférence sur la sécurité informatique organisée à Las Vegas. Une situation quasiment identique à celle de l'année dernière, quand il avait évoqué, dans la même conférence, une autre série de vulnérabilités dans le même produit. "Je les avait prévenus à l'avance, ils m'avaient dit que [le correctif] serait prêt, mais le jour de mon intervention ils m'ont dit que les patchs n'étaient finalement pas prêts".
| Litchfield, récidiviste de la découverte de failles |
Litchfield avait aussi révélé, en 2002, des failles dans le serveur SQL de Microsoft.
Pour prouver ses dires, il avait alors
mis au point une application qui exploitait ces vulnérabilités. Il s'est cette fois retenu de poursuivre cette démarche, ses travaux précédents ayant servi de modèle aux créateurs du ver Slammer.
Oracle a réagi à l'annonce en précisant que "les problèmes étaient corrigés" et que qu'un patch serait publié "sous peu". Litchfield a aussi cherché à relativiser l'ampleur de son annonce, en avançant qu'IBM et Microsoft, les concurrents directs d'Oracle, n'étaient pas non plus innocents et parfaitement transparents dans leur gestion de ce genre
de mauvaises nouvelles.
|
|
|
 |
Dossier 
