Kornbrust étrille Oracle

• Imprimer

Le premier coup de semonce a été donné sur la liste Full Disclosure par Alexander Kornbrust, contribution reprise dans la foulée dans les colonnes de Red Database Security : le 6 avril, Oracle publiait une note d'information accompagnée d'un exploit portant sur une faille d'Oracle Database 9.1.0.0 à 10.2.0.3. En temps normal, on appelle çà une bévue, un mastic, un malheureux impondérable. Mais dans le climat délétère qu'a su instaurer le patron de la société d'édition, ce pas de clerc est une véritable provocation et une erreur tactique sans précédent. En effet, depuis quelques années, Larry Ellison a menacé, poursuivi, traîné en justice, conspué par voie de presse et de communiqués, incendié au fil de ses « keynotes » toute personne se permettant de mentionner l'existence d'une vulnérabilité affectant Oracle. Toute personne, y compris les chercheurs en sécurité dont la probité et le respect des règles en matière de divulgation font l'admiration de tous, à commencer par les frères Litchfield ou Georgi Guninski. Cette fois, Ellison fera-t-il un procès à Ellison ? Où, sans pour autant poursuivre une telle logique dans ses derniers retranchements ubuesques, verra-t-on un porte-parole de l'entreprise adresser des excuses officielles tant à ses propres clients qu'aux chercheurs ayant subit des pressions ? Sachant également que les bulletins d'alertes sont expédiés aux seuls clients pouvant accéder au service Metalink, l'infatigable Larry va-t-il poursuivre de son zèle et de ses avocats le faux-frère qui a provoqué la fuite ? Car il ne s'agit pas de Monsieur Kornbrust, lequel attribue la « découverte » de la fuite à une société de service germanique. Enfin, dernière interrogation, cette « divulgation irraisonnée et totalement irresponsable » (pour reprendre la phraséologie traditionnellement employée dans de telles circonstances) constituera-t-elle un motif de publication anticipé pour le prochain lot de rustines, attendu la semaine prochaine ? Rien n'est moins sûr. En attendant le prochain « patch day » du 18 avril, Monsieur Ellison pourra méditer sur ce sujet du bac : « Si la dialectique ne parvient pas à casser les briques, est-elle au moins capable d'ébrécher une réputation ? »