Oracle, encore victime de failles – affirme un expert

L’information est à prendre au sérieux. Elle a été relayée ce 3 août par des médias crédibles. Et Oracle, pour l’heure, ne discute pas sa crédibilité -même si…

Un britannique, expert en sécurité informatique, confirme avoir mis à jour une trentaine de failles ou ‘trous de sécurité’ dans des versions actuelles et anciennes d’Oracle Il s’appelle David Litchfield, et dirige une société de logiciels, Next Generation Security Software (Surrey, Angleterre). Selon lui, certaines des failles découvertes doivent être considérées comme  »

critiques« : elles pourraient permettre à un pirate de prendre le contrôle d’une base de données en court-circuitant le contrôle d’identification de l’utilisateur. Il a pris soin d’en avertir l’éditeur. La direction d’Oracle a fait savoir qu’elle a pris ces risques très au sérieux et qu’elle travaille à finaliser des correctifs (‘patches’) pour contrer les points vulnérables. « Je ne discute pas, ils sont probablement sérieux« , a déclaré Mary Ann Davidson, CSO d’Oracle (Chief security officer) -propos repris par le Wall Street Journal. Selon David Litchfield, Oracle a pris connaissance de ces vulnérabilités depuis le début de l’année. Mais toutes n’auraient pas été corrigées. Certaines failles -une douzaine, semble-t-il – subsisteraient, pouvant permettre à des individus malintentionnés de dérober ou d’altérer des données dans des bases d’informations. L’expert ajoute qu’il en a averti l’éditeur alors qu’il s’apprêtait à éditer une alerte sécurité. Mais il a choisi d’attendre qu’Oracle ait terminé ses correctifs. David Litchfield jouit d’une bonne réputation. Mais, là encore, la question se pose: quelle est la part de dramatisation, en vue d’une médiatisation intéressée, chez un expert qui vend ses services? Ou est-ce que l’éditeur de bases de données considère que le danger est minime, que les failles découvertes sont inoffensives -au moins aussi longtemps que personne d’autre que cet expert ne les ait découvertes?