Quasiment 500.000 bases de données Oracle et Microsoft non sécurisées

D’un sondage réalisé par un pirate en matière de sécurité des bases de données SQL et Oracle, il apparaît que 492.000 d’entre elles sont accessibles sans être protégées par un quelconque pare-feu.

D’un sondage réalisé par un pirate en matière de sécurité des bases de données SQL et Oracle, il apparaît que 492.000 d’entre elles sont accessibles sans être protégées par un quelconque pare-feu.

David Litchfield, pirate de bases de données, a effectué un sondage sur 1,16 million d’adresses IP aléatoires, uniquement sur les ports TCP 1433 (SQL Server) et 1521 (Oracle). Voilà ce qu’écrit Ryan Naraine sur son [weblog ZDNet]. Litchfield en est arrivé à la conclusion que 368.000 Microsoft SQL Servers sont directement accessibles via l’internet, ainsi que quelque 124.000 serveurs de bases de données Oracle.

Pour les bases de données SQL, il est apparu que 80 pour cent intégraient SQL Server 2000. Seuls 46 pour cent d’entre elles incorporaient Service Pack 4, la version la plus récente. Le reste faisait tourner une version plus ancienne. Pas le moindre correctif (‘patch’) n’avait été par ailleurs installé sur 4 pour cent des bases de données SQL.

Même s’il n’est pas évident de savoir combien de ces bases de données servent de système d’entreprise, les bases de données SQL et Oracle sont bien populaires dans les PME. Il y a donc de fortes chances pour que dans les 500.000 serveurs non sécurisés, de l’information sensible soit exposée et aisément accessible aux pirates. Par contre, ce sondage est un rien trop informel que pour en tirer des conclusions emphatiques sur la mentalité en matière de sécurité qui règne dans les entreprises et chez les particuliers.