Sécurité : SQL Server serait plus robuste qu'Oracle
OK, pas un pavé, disons une palette de pavés
David Litchfield, un chercheur en sécurité, a publié une étude qui jette pour le moins un pavé dans la mare. Dans l’univers des systèmes de gestions de grandes bases de données (SGBD), le nom d’Oracle est traditionnellement associé à celui d’une référence. Pourtant, lorsque l’on parle de sécurité, Litchfield oppose SQL Server de Microsoft à Oracle, et ses conclusions sont à l’écart des sentiers battus.Travaillant pour la société NGS Software, Litchfield a publié un rapport opposant donc les SGBD d’Oracle et de Microsoft. Durant les six dernières années, il a déjà compté le nombre de failles corrigées sur les versions cumulées de chaque famille de produits. Il a obtenu les résultats suivants :
- 59 failles trouvées sur SQL Server 7, 2000 et 2005
- 233 failles trouvées sur Oracle 8, 9 et 10g
Et Litchfield n’en finit de critiquer Oracle, en précisant qu’il a rapporté à la société 49 failles de sécurité qui n’ont pour le moment jamais été corrigées. Et il n’est pas le seul visiblement à lancer le même message puisque d’autres sociétés de sécurité comme Argeniss indiquent elles aussi qu’elles ont donné des indications sur des failles découvertes mais qui n’ont jamais été corrigées. Argeniss prévoit d’ailleurs d’attirer les regards sur la situation avec « La semaine des bugs de la base de donnée Oracle » en décembre.Évidemment, le rapport de Litchfield n’a pas attiré uniquement des critiques positives. Du côté de chez Red Database Security par exemple, Alexander Kornbrust explique que la comparaison entre Oracle et SQL Server est injuste du fait du nombre de composants installés bien plus importants pour Oracle. De fait, plus le nombre de composants installés est grand, plus large est la surface d’attaques pour d’éventuels attaquants. Mais Litchfield a rétorqué qu’Oracle aurait justement tout intérêt à ne pas installer tant de composants dans son installation par défaut.
On se souvient qu’il y a plusieurs années, Oracle avait lancé une grande campagne de publicité basée justement sur la sécurité de ses produits. Nommée « Unbreakable » (Incassable), elle a fini par disparaître car les rapports de sécurité publiés sur les produits de l’éditeur contredisaient les mérites vantés. Pour Litchfield, le problème vient d’un poids trop imposant du passé parmi les développeurs. Il explique en effet que l’éditeur est bien trop immergé dans les standards de sécurité décrits par le département américain de la défense. Le souci est que ces standards sont selon lui bien loin d’être aussi efficaces que ce qu’ils l’étaient plusieurs années en arrière.
Oracle fait surtout face aux attaques de type injection de code SQL. Ces dernières sont exploitées lorsqu’un utilisateur malveillant écrit du code dans les champs d’un formulaire en ligne. La sécurité de la base de données peut être alors parfois contournée pour l’amener à révéler des informations qui auraient dû rester cachées.
Il est à noter que la société a refusé pour l’instant de réagir au rapport publié par Robert Litchfield.
Source :
VNUnet
Vincent Hermann
le 24 novembre 2006 à 10:26
(22 346
lectures)
Actualités et brèves relatives
- 23 / 11 / 2006 : Faille dans le cryptage des transactions : la puce à l'oreille ?
- 23 / 11 / 2006 : Firefox, Internet Explorer 7 : une faille sur les mots de passe
- 15 / 11 / 2006 : Microsoft : les mises à jour de sécurité pour novembre sont là
- 30 / 10 / 2006 : Red Hat ne baissera pas ses prix face à l'offre d'Oracle
- 09 / 08 / 2006 : Un hacker brise la protection d'un passeport biométrique
- 10 / 04 / 2006 : LinuxWorld : les différentes récompenses distribuées
- 28 / 10 / 2005 : Faille dans la protection des mots de passe chez Oracle
- 19 / 10 / 2005 : Oracle corrige 23 failles de sécurité
