“SQL Server de Microsoft nettement plus sûr que les logiciels d’Oracle “

L’enquêteur en sécurité David Litchfield a rédigé un rapport dans lequel il compare SQL Server et les bases de données d’Oracle. D’après lui, Microsoft l’emporterait largement sur Oracle en matière de sécurité.

Dans SQL Server 7, 2000 et 2005, on a, selon lui, colmaté 59 brèches au cours des six dernières années, alors qu’Oracle, de son côté, a dû sortir 233 correctifs pour protéger Oracle 8, 9 et 10g contre les intrus. Dans son étude, il indique en outre que, depuis la mi-2003, Microsoft n’a plus dû publier ce qu’elle appelle son ‘security bulletin’ pour son logiciel SQL Server, tandis que ces dernières années, Oracle n’a vu que croître le nombre de ses correctifs.Litchfield a donc placé Microsoft SQL Server 2000 tout en haut de son échelle de sécurité, à côté du projet ‘open source’ PostgreSQL. C’est Oracle 10g qui ferme la marche de ce classement. Dans une interview accordée à VNUnet.com, Litchfield a déclaré de manière ambitieuse qu’il ne lui faudrait que cinq minutes pour déceler une nouvelle faille dans la sécurité des logiciels d’Oracle, mais que ce ne serait pas du tout le cas avec SQL Server 2005. A l’entendre, l’enquêteur a déjà fait rapport de 49 bugs à Oracle, mais tous doivent encore résolus.Plus tôt dans le mois, le cabinet d’analystes Enterprise Strategy Group avait publié son rapport ‘Microsoft SQL Server runs the security table’, dans lequel il arrivait plus ou moins aux mêmes conclusions. Ce compte-rendu a cependant suscité pas mal de critiques, et Litchfield a donc décidé de mettre ses observations sur papier afin de confirmer la conclusion d’ESG.Son rapport n’est toutefois pas non plus resté sans réaction. C’est ainsi qu’Alexander Kornbrust de Red Database Security affirme que la comparaison n’est pas correcte du fait qu’Oracle intègre nettement plus de fonctions qui attirent les pirates, et que ses progiciels présentent donc davantage de cibles potentielles. Litchfield estime à son tour que cela confirme son avis selon lequel Oracle est moins sûr. Il conseille dès lors à Oracle de ne pas installer par exemple tous les composants par défaut.