Des stagiaires piratent la sécurité d’Oracle

Peu après qu’Oracle ait annoncé ne pas avoir besoin d’aide extérieure pour dénicher les failles dans ses logiciels, il apparaît que des stagiaires d’une entreprise de sécurité ont informé l’entreprise de quelques points faibles qu’ils avaient trouvés.

Le patch d’octobre pour l’E-Business Suite d’Oracle intégrait des correctifs de douze failles, dont six ont été décelées par l’entreprise de sécurité ERPScan. Dans un entretien accordé à Channelweb, son CTO Alexander Polyakov explique combien il fut facile d’y arriver.

“Il nous a fallu moins d’une journée pour découvrir plus d’une douzaine de problèmes dans l’Oracle E-Business Suite, la plus importante application professionnelle de cette entreprise. Ce ne fut pas bien difficile. XSS, injections SQL, XSS et ‘user enumeration vulnerabilities’, la base de la sécurité d’applications, quoi.”

Polyakov rend les choses encore plus pénibles à entendre pour Oracle en insistant sur la manière dont les failles ont été décelées. “Elles l’ont toutes été par des stagiaires de notre équipe de recherche. Que peut-on ajouter de plus?”

Pas besoin d’aide

L’intensité de la réaction de l’entreprise de sécurité est due en partie à l’attitude même adaptée par Oracle en août. A l’époque, l’entreprise avait en effet publié un message sur son blog, dans lequel elle prétendait que les clients et les consultants n’étaient pas autorisés à se livrer à de l’ingénierie à rebours (‘reverse engineering’) avec son software pour y découvrir des bugs, sous peine que cela enfreigne ses conditions. En outre, l’entreprise aurait elle-même découvert 87 pour cent des failles sécuritaires.

Le message en question posté sur le blog fut retiré peu après, mais il provoqua quand même pas mal d’agitation dans le secteur. Il est ainsi généralement intéressant que des tiers mettent leur nez dans des logiciels pour en découvrir plus rapidement les failles sécuritaires. “La meilleure manière d’irriter les chercheurs, c’est de leur dire qu’on n’a pas besoin d’eux.”