Oracle, société connue pour ses bases de données, vient de publier une mise à jour corrigeant 23 failles. Jugée critique, cette mise à jour correspond au bulletin trimestriel de la firme pour tout ce qui concerne les failles de sécurité et autres problèmes. Janvier, avril, juillet et octobre marquent donc les temps des mises à jour.

Tous les correctifs inclus dans la mise à jour ne concernent pas forcément le produit phare de la société, à savoir Oracle dans sa version 10g. Des correctifs pour les versions 8i et 9i sont également inclus, et plusieurs d’entre eux affichent le grade critique des failles importantes. La mise à jour inclut également des patchs pour les produits de PeopleSoft, CRM et Enterprise Tools. Au niveau des applications Oracle elles-mêmes, on notera des patchs pour les produits suivants :

• Database Server
• Grid Control
• Application Server
• Collaboration Suite
• Database Control

La société communique très peu sur ses mises à jour, et sa politique en matière de sécurité laisserait à désirer suivant bon nombre d’analystes. Parmi les différentes personnes ayant contribué à la découverte des failles corrigées, David Litchfield, de NGS Software, se montre très acerbe face à l’attitude d’Oracle. Il explique ainsi à nos confrères de chez eWeek que plusieurs patchs ne font que corriger certaines exploitations de failles, et non les failles elles-mêmes. Cette approche est selon lui dangereuse et prouverait que la société n’a pas de réelle considération pour les problèmes soulevés.

« Nous sommes en octobre 2005, et pendant tout ce temps, les serveurs de bases de données Oracle ont été faciles à pirater, un fait dont Oracle est sûrement avisé ».

Bien que les attaques dirigées contre de tels serveurs soient moins nombreuses, les piratages de bases de données sont aussi plus couverts médiatiquement. Les résultats sont potentiellement désastreux, qu’il s’agisse de données professionnelles ou personnelles. On se souviendra des risques encourus par tous ceux dont les identités ont été volées, et on ne peut qu’imaginer ce qui se passerait avec un vol à grande échelle de numéros de cartes de crédit.

Des dangers moins visibles et plus graves guettent les bases de données, comme l’explique Rich Mogull, un analyste en sécurité du cabinet Gartner dans un email envoyé à ZDnet US : « Si quelqu’un pirate votre site web, vous le savez immédiatement. S'il copie une base de données, vous pourrez ne jamais le savoir ».