Actualités

Inscrivez-vous

Pas d'apocalypse pour Oracle cette semaine

Edition du 01/12/2006 - par Marc Olanié

Cesar Cerrudo fait machine arrière et annule sa « semaine du bug Oracle » calquée sur les récentes opérations de H.D. Moore. Retour sur une décision qui, sans trop de surprise hélas, était prévisible. Soit les avocats d'Oracle, soit les groupes d'utilisateurs, soit certains « amis » de la communauté des experts en sécurité ont probablement déployé des prodiges de persuasion afin de faire avorter cette opération dans l'oeuf.

Est-ce un bien ou un mal ? La question n'est pas franchement là. Cerrudo avait-il les moyens de lancer son opération ? Là, sans l'ombre d'un doute, la réponse est oui. Les 7 ZDE attendus devaient être conservés au frais dans les tiroirs de Argeniss, puisque l'appel à participation s'achevait par un « anyways if you want to contribute send your Oracle 0days so this can be extended for another week or more ». En outre, Cerrudo a prouvé, par le passé, que ses interventions étaient toujours techniquement fondées... ce n'étaient pas là des rodomontades lancées par un parfait inconnu.

Cerrudo s'est-il « dégonflé » ?Peut-être. Peut-être a-t-il sous estimé le risque juridique d'une telle opération, risques que d'autres, et notamment les frères Lietchfield ou Alexander Kornbrust, on pu évaluer parfois à leurs dépends. Mais « peut-être » seulement. L'annonce a de toute manière fait son effet, et la promesse d'une divulgation de 7 failles nouvelles n'a surpris personne... les dernières CPU Oracles étaient tellement pléthoriques que l'existence de 7 trous de plus ou de moins n'ont pu émouvoir personne. En revanche, si l'on peu titiller un Apple ou un Microsoft sur sa lenteur à colmater des outils système généralement protégés par une défense périmétrique conventionnelle, parler de défauts dans des programmes qui n'ont strictement rien de grand public et qui jouent le rôle de mécanismes indispensables à la bonne marche de certaines entreprises, c'est une tout autre histoire. Les conséquences d'une divulgation sur un SGBD ou un outil métier sont financièrement coûteuses, et Cerrudo aurait pu recevoir, outre les courriers des avocats d'Oracle, tout la correspondance des entreprises clientes qui se seraient retournées contre l'instigateur « de facto » d'une probable attaque.

Ajoutons enfin que les conséquences d'une rustine de mauvaise qualité sur une station de travail provoquera généralement moins de dégâts qu'un patch « forcé » et de mauvaise qualité sur une application serveur. C'est d'ailleurs pour éviter le risque d'une régression (un « bug » dans la rustine pouvant provoquer un mal pire que le danger initial) que certains clients de grosses applications centrales ont de plus en plus recours aux « patchs virtuels ». Ces sortes de filtres excessivement spécifiques agissent sur les flux « niveau 7 ». Cette solution n'est pas elle-même absolument parfaite, mais elle offre un avantage indiscutable : L'application n'est, à aucun moment, modifiée par un bout de programme. Il est en outre plus facile d'agir lorsqu'il s'agit d'enlever en urgence une « mauvaise » correction. Et dans tous les cas, pas de correction du tout -donc pas de modification ni des flux entrants, ni du code exécuté- sera toujours préférable à un défaut même bien corrigé. De là à dire que certaines groupes d'utilisateurs d'applications serveur préfèrent un bon gros bug ignoré à une petite faille colmatée, il n'y a qu'un pas.

Mais on ne peut que regretter cette reculade de Cesar Cerrudo. Non pas pour la « joie » de voir une fois de plus l'image du SGBD « unbreakable » s'effriter un peu plus. Mais parce qu'elle fait prendre conscience que, depuis les 2 dernières années, les techniques d'attaque par injection SQL se sont étonnamment perfectionnées et répandues. Que toutes ces communications liées aux instabilités des applications serveur, malgré ce que prétendent les associations d'éditeurs de logiciels, tendent à accélérer les processus de colmatage. Que le lent glissement du hacking « pour la gloire » vers un hacking à tendance mafieuse profite de la moindre faille « connue mais laissée sous silence »... et que, a posteriori, toute rétention d'information dans ce domaine servira l'intérêt des personnes les moins honnêtes.

Rejoignez reseaux-telecoms.net, commentez cet article
Nombre de commentaires postés (0) - Lire tous les commentaires

L'ACTUALITÉ DU JOUR

Un pas de plus vers les paiements sans contact avec la certification EAL 4+ d'une carte SIM NFC

Les paiements sans contact depuis un mobile se rapprochent chaque jour de la réalité. Le (...)

CANAL+ progresse dans la dématérialisation des contrats avec ses points de vente

CANAL+ dématérialise certains éléments contractuels qui le lient à son réseau commercial. (...)

CDSE : prévenir et réagir face aux pertes de données

Le Club des Directeurs de Sécurité des Entreprises édite une revue quadrimestrielle (...)

Les RSSI disposent d'une nouvelle communauté

A côté d'associations comme le Clusif et les Clusir ou de la communauté du Cercle (...)

Les médecins mis à l'amende en 2012 pour refus de la dématérialisation

L'Assurance maladie a précisé, lundi 3 janvier, que la taxe de 50 centimes d'euro (...)

Le Syndicat de l'Intelligence Economique reçoit l'appui du délégué interministériel

Par voie de communiqué, Olivier Buquen, délégué interministériel à l'Intelligence (...)

La Banque de France victime d'une attaque de Phishing

La Banque de France met en garde le public après avoir été alertée, le vendredi 17 (...)

Articles récents

Actualités

Un pas de plus vers les paiements sans contact avec la certification EAL 4+ d'une carte SIM NFC

(13/07/2) - Les paiements sans contact depuis un mobile se rapprochent chaque jour de la réalité. Le (...)

CANAL+ progresse dans la dématérialisation des contrats avec ses points de vente

(12/07/2) - CANAL+ dématérialise certains éléments contractuels qui le lient à son réseau commercial. (...)

Les RSSI disposent d'une nouvelle communauté

(05/01/2) - A côté d'associations comme le Clusif et les Clusir ou de la communauté du Cercle (...)

Les médecins mis à l'amende en 2012 pour refus de la dématérialisation

(03/01/2) - L'Assurance maladie a précisé, lundi 3 janvier, que la taxe de 50 centimes d'euro (...)

Magazine

. Téléchargez le sommaire du magazine

. S'abonner au magazine

. Contactez la Rédaction

Alertes

Toutes les alertes

Mardi 14 décembre, des patch sensibles de Microsoft

(11/12/2) - Le Tuesday Patch de Microsoft prévu pour mardi 14 décembre comprendra un nombre record (...)

Dispense de redevance pour copie privée pour les entreprises

(22/10/2) - La Cour Européenne de Justice vient de décider, jeudi 21 octobre 2010, que les professionnels (...)

Des correctifs à installer d'urgence venant d'Oracle

(08/10/2) - Mardi 12 octobre prochain, Oracle fournira un 'Critical Patch Update' comportant (...)

Actualités RT

Citadel premier Cheval de Troie en logiciel libre

(10/02/2) - Selon les chercheurs de l'entreprise de sécurité Seculert, les créateurs du malware (...)

L'Etat simule la cyberguerre avec l'exercice Piranet 2012

(10/02/2) - En déclenchant l'exercice Piranet 2012 les 7, 8 et 9 février dernier, l'État s'est (...)

Nokia délocalise 4 000 emplois en Asie

(10/02/2) - Nokia a décidé de délocaliser une plus grande partie de sa production en Asie. Pour (...)

LIVRES BLANCS

	> 10 février 2012 - Google Webinaire : Partout, à tout moment, avec n'importe quel appareil : tel est l'avenir de l'entreprise Enregistrez-vous dès maintenant à ce nouveau rendez-vous pour suivre en direct le « Google Collaboration » <br /><strong>- le 16 Mars à 11h - </strong><br /><br />Partout, à tout moment, avec n'importe quel appareil : Tel est l'avenir de l'entreprise. <br />Le temps où chacun travaillait seul au sein de l'entreprise est révolu. Avant, seule la productivité personnelle comptait. Les grands esprits travaillaient avec acharnement, enfermés dans leur bureau, sur des idées qui risquaient de ne jamais aboutir. <br />Aujourd'hui, les entreprises doivent s'ouvrir au monde, collaborer de manière efficace et évoluer rapidement pour être compétitives.<br /><br />Participez à ce webinaire pour en savoir plus sur les tendances de collaboration qui rendent les entreprises compétitives aujourd'hui. Vous découvrirez comment la solution Google Apps peut vous permettre de travailler efficacement, où que vous soyez et depuis n'importe quel appareil.

	> 7 février 2012 - 100% web : Google Apps et la vision de Google sur le Cloud Computing Suite au succés du webinaire Google, enregistrez-vous dès maintenant à ce nouveau rendez-vous pour suivre en direct le « Webinaire Google 100% Web » <br /><strong><br />Google 100% Web - le 17 Février 2012 à 11h - </strong><br /><br />Plus de 4 millions d'entreprises sont passées à Google Apps et profitent à présent de grandes améliorations en termes de collaboration et d'économies. <br /><br /><strong>L'objectif de ce webinaire est </strong>comment la suite de messagerie et de collaboration Google Apps peut permettre votre société de:<br />- Collaborer entre équipes en ligne et en temps réel<br />- Etre productif partout en ayant accès à vos fichiers sur n'importe quel dispositif<br />- Dites adieu aux licences complexes, aux serveurs coûteux et au matériel informatique<br /><br />Réalisé en direct, vous pourrez intervenir à tout moment dans le débat et poser toutes les questions* à l'équipe Google.<br /><br />Si vous avez des contraintes pour être présent à ce webinaire, vous pouvez choisir une autre date : <br />En Février : 24 Février 2012 à 11h;.<br />En Mars : 09 Mars 2012 à 11h; 23 Mars 2012 à 11h; 30 Mars 2012 à 11h. <br /><span><span><br />*pour suivre cette émission en direct et poser des questions il faut que vous soyez enregistré</span></span>

	> 3 février 2012 - Document d'étude de l'Aberdeen Group sur BYOD (Bring your own device) L'appareil intelligent moderne a transformé l'entreprise. Ces points de contact mobiles pris en charge par IT ont provoqué l'irruption soudaine d'appareils personnels (parfois appelés appareils E-L pour "Employee Liable" ). Avec aussitôt de nouvelles pressions et exigences sur l'acteur concerné au premier chef : le LAN (WLAN) sans fil. Pour lire l'intégralité du document, veuillez remplir notre formulaire.

	> 3 février 2012 - Concevez la Wi-Fi pour le multimédia à l'ère de l'iPad Comme la plupart des sociétés, l'Université d'Ottawa a vu augmenter massivement le nombre d'appareils mobiles reliés au réseau : <strong>iPhones, Androids et iPads.</strong> Or, la combinaison de la mobilité et d'applications à large bande passante sensibles à la latence n'est pas inoffensive pour les réseaux sans fil.<br />L'université d'Ottawa, avec Apple, Aruba Networks et divers fournisseurs d'applications ont rédigé ce document technique qui valide un environnement Wi-Fi pour multimédia, afin de déployer voix et vidéo.

Tous les Livres Blancs | Par Date | Par Thèmes | Par Sponsors

PARTENAIRES

. Web-profils.com, la place de marché du conseil et de l'ingénierie

Signaler une erreur | Contactez-nous | Infos légales | Recevez les Newsletters | Abonnez-vous aux Flux RSS

Reseaux-Telecoms.net est un site
du groupe IT News Info,
certifié par l'OJD

Actualité du monde IT - Management des systèmes d'information - Actualité des grossistes informatiques - Actualité high tech et usage du numérique - Magazine pour homme

Copyright © Reseaux-Telecoms.net 2003-2012
Toute reproduction ou représentation intégrale ou partielle, par quelque procédé que ce soit, des pages publiées sur ce site,
faite sans l'autorisation de l'éditeur ou du webmaster du site Reseaux-Telecoms.net est illicite et constitue une contrefaçon.
IT News Info s'est engagé à respecter la confidentialité des données personnelles régies par la loi 78-17 du 6 janvier 1978.