David Litchfield, un chercheur en sécurité, a publié une étude qui jette pour le moins un pavé dans la mare. Dans l’univers des systèmes de gestions de grandes bases de données (SGBD), le nom d’Oracle est traditionnellement associé à celui d’une référence. Pourtant, lorsque l’on parle de sécurité, Litchfield oppose SQL Server de Microsoft à Oracle, et ses conclusions sont à l’écart des sentiers battus.

Travaillant pour la société NGS Software, Litchfield a publié un rapport opposant donc les SGBD d’Oracle et de Microsoft. Durant les six dernières années, il a déjà compté le nombre de failles corrigées sur les versions cumulées de chaque famille de produits. Il a obtenu les résultats suivants :

• 59 failles trouvées sur SQL Server 7, 2000 et 2005
• 233 failles trouvées sur Oracle 8, 9 et 10g

Le nombre de failles découvertes n’est bien sûr pas un indicateur à lui tout seul, mais Litchfield précise que Microsoft n’a plus publié de bulletin de sécurité pour SQL Server depuis mi-2003, alors que le nombre de correctifs pour les logiciels Oracle est toujours important. D’un point de vue strictement comparatif, il estime que la base de données actuelle la plus sécurisée est SQL Server 2000 Service Pack 4, aux côtés de PostgreSQL. Loin derrière, Oracle est dernier de sa liste.

Et Litchfield n’en finit de critiquer Oracle, en précisant qu’il a rapporté à la société 49 failles de sécurité qui n’ont pour le moment jamais été corrigées. Et il n’est pas le seul visiblement à lancer le même message puisque d’autres sociétés de sécurité comme Argeniss indiquent elles aussi qu’elles ont donné des indications sur des failles découvertes mais qui n’ont jamais été corrigées. Argeniss prévoit d’ailleurs d’attirer les regards sur la situation avec « La semaine des bugs de la base de donnée Oracle » en décembre.

Évidemment, le rapport de Litchfield n’a pas attiré uniquement des critiques positives. Du côté de chez Red Database Security par exemple, Alexander Kornbrust explique que la comparaison entre Oracle et SQL Server est injuste du fait du nombre de composants installés bien plus importants pour Oracle. De fait, plus le nombre de composants installés est grand, plus large est la surface d’attaques pour d’éventuels attaquants. Mais Litchfield a rétorqué qu’Oracle aurait justement tout intérêt à ne pas installer tant de composants dans son installation par défaut.

On se souvient qu’il y a plusieurs années, Oracle avait lancé une grande campagne de publicité basée justement sur la sécurité de ses produits. Nommée « Unbreakable » (Incassable), elle a fini par disparaître car les rapports de sécurité publiés sur les produits de l’éditeur contredisaient les mérites vantés.

Pour Litchfield, le problème vient d’un poids trop imposant du passé parmi les développeurs. Il explique en effet que l’éditeur est bien trop immergé dans les standards de sécurité décrits par le département américain de la défense. Le souci est que ces standards sont selon lui bien loin d’être aussi efficaces que ce qu’ils l’étaient plusieurs années en arrière.

Oracle fait surtout face aux attaques de type injection de code SQL. Ces dernières sont exploitées lorsqu’un utilisateur malveillant écrit du code dans les champs d’un formulaire en ligne. La sécurité de la base de données peut être alors parfois contournée pour l’amener à révéler des informations qui auraient dû rester cachées.

Il est à noter que la société a refusé pour l’instant de réagir au rapport publié par Robert Litchfield.