Faille dans la protection des mots de passe chez Oracle
L'Oracle a deviné mon mot de passe !
Oracle se trouve confrontée à un problème signalé depuis juillet dernier selon les experts en sécurité. Une faiblesse dans la protection des mots de passes clients pourrait permettre à certains de s'introduire dans un système sans y être invité.
Les chercheurs affirment effectivement pouvoir les retrouver dans leur forme écrite, pour ne plus avoir qu'à les taper et entrer dans le système. La méthode fonctionnerait même avec de bons mots de passe très longs et non prévisibles.
La faiblesse réside dans la technique de stockage des mots de passe d'Oracle. Joshua Wright, chercheur au SANS Institute a même présenté un outil programmé maison qui permet de retrouver ces mots de passe. Le chercheur a percé le cryptage, notamment grâce à un système de hachage peu sécurisé, à partir duquel il a pu faire la liaison entre les données de hachage, les logins et leur mot de passe.
Oracle semble, depuis juillet dernier, date des premiers avertissements sur le sujet, faire la sourde oreille quant à ce problème de protection. Les chercheurs ont donc déjà donné un début de solution : assigner des mots de passe longs aux caractères aléatoires, et limiter les droits des utilisateurs.
Pendant qu'Oracle semble se forger une toute nouvelle réputation de laxisme en terme de sécurité selon certains, les intéressés pourront trouver toutes les informations nécessaires à la protection des mots de passe sur ce document officiel du SANS Institute.
Les chercheurs affirment effectivement pouvoir les retrouver dans leur forme écrite, pour ne plus avoir qu'à les taper et entrer dans le système. La méthode fonctionnerait même avec de bons mots de passe très longs et non prévisibles.
La faiblesse réside dans la technique de stockage des mots de passe d'Oracle. Joshua Wright, chercheur au SANS Institute a même présenté un outil programmé maison qui permet de retrouver ces mots de passe. Le chercheur a percé le cryptage, notamment grâce à un système de hachage peu sécurisé, à partir duquel il a pu faire la liaison entre les données de hachage, les logins et leur mot de passe.
Oracle semble, depuis juillet dernier, date des premiers avertissements sur le sujet, faire la sourde oreille quant à ce problème de protection. Les chercheurs ont donc déjà donné un début de solution : assigner des mots de passe longs aux caractères aléatoires, et limiter les droits des utilisateurs.
Pendant qu'Oracle semble se forger une toute nouvelle réputation de laxisme en terme de sécurité selon certains, les intéressés pourront trouver toutes les informations nécessaires à la protection des mots de passe sur ce document officiel du SANS Institute.
Source :
CNet News
Bruno Cormier
le 28 octobre 2005 à 10:18
(12 951
lectures)
Actualités et brèves relatives
- 26 / 10 / 2005 : Trois failles dans Skype, mises à jour disponibles
- 24 / 10 / 2005 : Faille PnP de Microsoft : Mocbot débarque [MàJ]
- 19 / 10 / 2005 : Oracle corrige 23 failles de sécurité
- 12 / 10 / 2005 : Le nouveau modèle de licence de Microsoft déplait
- 13 / 09 / 2005 : Oracle mange Siebel et enfle à vue d'oeil
- 15 / 07 / 2005 : Oracle accepte de revenir sur le multi-cores
- 24 / 06 / 2005 : Oracle est gentil, Oracle se lance dans le gratuit
- 29 / 05 / 2005 : Concours Oracle : un vol spatial pour le gagnant !
