Des failles de sécurité ont été mises à jour dans Oracle 9i, le produit phare de l'éditeur de bases de données. Un coup dur pour ce dernier qui l'avait présenté comme "incassable" à travers une campagne publicitaire tapageuse.
La grand-messe annuelle qui réunit des experts en sécurité informatique, le Black Hat Windows Security Briefings (Nouvelle-Orléans, 7 et 8 février 2002) va être, cette année encore, le théâtre de révélations croustillantes. David Litchfield, un britannique spécialiste en sécurité doit dévoiler, en clôture du forum, les détails sur des failles de sécurité qu'il a décelées dans le logiciel de bases de données 9i d'Oracle, celle la même que l'éditeur présente comme "incassable".

9i comporterait des bugs pouvant permettre à des pirates de prendre le contrôle de serveurs d'entreprises. Ces bugs, que Litchfield a découvert en décembre lors de tests, se situent au niveau du module de gestion des bases de données Oracle et du serveur Java pour Apache. Oracle a publié des correctifs mercredi 6 février, après en avoir déjà mis à disposition en décembre. Et des failles ont déjà été révélées par le passé dans d'autres produits Oracle, comme son logiciel 8i.

«C'est un problème très grave pour les entreprises dépendant d'Oracle», a indiqué mercredi Litchfield dans une déclaration. Et d'ajouter: «Les entreprises qui ne prennent pas les mesures nécessaires seront les proies idéales d'attaques telles que du vol ou des modifications de données».

«Tous les logiciels comportent des failles»

Pour Greg Shipley, directeur des services de conseil au sein de la société Neohapsis, spécialisée dans la sécurité, ces révélations mettent le doigt sur les risques encourus par les éditeurs qui affirment que leurs produits sont sécurisés à 100%. Selon lui, cette stratégie marketing expose, à coup sûr, ces produits comme cible des pirates. «Nommez un seul éditeur qui ne s'est pas fait piéger. Tous l'ont été.»

Avec des slogans comme «Oracle9i Database--Can't Break It. Can't Break In» et «Only Oracle9i Is Unbreakable», la campagne de publicité lancée par Oracle lors du salon Comdex à Las Vegas en novembre 2001 a mis la barre très haut. L'éditeur a investi plus d'un million de dollars dans des certifications logicielles internationales pour garantir un niveau de sécurité maximal. Ce qui ne l'a pas empêché d'être critiqué par des experts en sécurité.

«Il n'est pas possible de dire qu'un logiciel est "incassable'', compte tenu de la technologie actuelle», affirme Chris Wysopal, directeur de la recherche et du développement chez Atstake, société spécialisée dans la protection réseau. «Tous les logiciels comportent des failles». Mais il souligne que le sérieux qu'accorde Oracle à la sécurité est appréciable.

Oracle n'est pas le seul à mettre l'accent sur la question. Il y a deux semaines, Microsoft a indiqué que la sécurité devenait l'un de ses chevaux de bataille, face aux nombreuses failles décelées dans ses produits.