Selon les experts, certaines bases de données d'Oracle présentent une sérieuse faille dans leur système d'identification. Celle-ci pourrait être mise à profit par un pirate pour récupérer et même modifier les données stockées.

« La faille dans Oracle Database 11g Release 1 et 2 expose le jeton fourni par le serveur avant authentification à une attaque par force brute », a déclaré Esteban Martinez Fayo, le chercheur d'Application Security qui a découvert la faille.

Si l'attaque réussit, le pirate peut entrer dans la base de données. « Le contournement de l'authentification pose un problème très grave », a estimé dans un mail Kevin Mitnick, un pirate réputé et fondateur de Mitnick Security Consulting. « Pour être exact, un attaquant peut accéder aux informations stockées dans la base de données d'Oracle, et même les modifier ».

La vulnérabilité utilise la manière dont le protocole d'authentification protège les clés de session. Lorsqu'un client se connecte au serveur de base de données, une clé de session est générée avec des données aléatoires.

Mais, comme cela se produit avant que le processus d'authentification ne soit terminé, un hacker distant peut lier la clé à un hash spécifique. « Une fois que l'attaquant a une clé de session et cette suite de données aléatoires, il peut effectuer une attaque par force brute sur la clé de session en essayant des millions de mots de passe par seconde jusqu'à ce qu'il trouve le bon code », a expliqué le chercheur sur le blog Threatpost de Kaspersky Labs.

Comme le hack se produit avant l'authentification finale, le serveur n'enregistre aucun échec dans le processus de connexion, si bien que l'intrusion peut se faire sans être détectée comme événement anormal.

Une faille persistante

Oracle, qui n'a pas répondu à une demande de commentaire, a livré une mise à jour - version 12 - de sa base de données, laquelle corrige la faille découverte dans le protocole d'authentification. Mais, selon Esteban Martinez Fayo, l'éditeur ne prévoit pas de fournir un correctif pour la version 11.1 défectueuse.

Et, même avec la mise à jour, les administrateurs de bases de données doivent configurer le serveur pour n'autoriser que la nouvelle version du protocole. « Parce que la solution nécessite une mise à jour, la vulnérabilité va hanter certains clients d'Oracle pendant des années », a déclaré Justin Clarke, chercheur en sécurité chez Cylance. « Beaucoup de grandes entreprises et d'agences chargées de gérer des infrastructures critiques ne peuvent pas se permettre de prendre le temps ou le risque de mettre à niveau tous les serveurs et clients Oracle », a expliqué le chercheur. « Je peux affirmer avec une quasi-certitude que cette vulnérabilité va persister tant qu'Oracle 11g sera en circulation », a t-il ajouté.

« Le secret autour des précédents défauts affectant le protocole d'authentification d'Oracle a été bien gardé dans le secteur de la sécurité », a ajouté Justin Clarke. « C'est une très bonne chose de voir que de telles questions sont débattues publiquement. J'espère que cela va inciter Oracle à faire quelque chose. J'espère aussi que les utilisateurs vont se poser plus de questions et vont chercher à évaluer la force réelle de ces systèmes ».

. Web-profils.com, la place de marché du conseil et de l'ingénierie