Pas d'apocalypse pour Oracle cette semaine
Cesar Cerrudo fait machine arrière et annule sa « semaine du bug Oracle » calquée sur les récentes opérations de H.D. Moore. Retour sur une décision qui, sans trop de surprise hélas, était prévisible. Soit les avocats d'Oracle, soit les groupes d'utilisateurs, soit certains « amis » de la communauté des experts en sécurité ont probablement déployé des prodiges de persuasion afin de faire avorter cette opération dans l'oeuf. Est-ce un bien ou un mal ? La question n'est pas franchement là. Cerrudo avait-il les moyens de lancer son opération ? Là, sans l'ombre d'un doute, la réponse est oui. Les 7 ZDE attendus devaient être conservés au frais dans les tiroirs de Argeniss, puisque l'appel à participation s'achevait par un « anyways if you want to contribute send your Oracle 0days so this can be extended for another week or more ». En outre, Cerrudo a prouvé, par le passé, que ses interventions étaient toujours techniquement fondées... ce n'étaient pas là des rodomontades lancées par un parfait inconnu. Cerrudo s'est-il « dégonflé » ?Peut-être. Peut-être a-t-il sous estimé le risque juridique d'une telle opération, risques que d'autres, et notamment les frères Lietchfield ou Alexander Kornbrust, on pu évaluer parfois à leurs dépends. Mais « peut-être » seulement. L'annonce a de toute manière fait son effet, et la promesse d'une divulgation de 7 failles nouvelles n'a surpris personne... les dernières CPU Oracles étaient tellement pléthoriques que l'existence de 7 trous de plus ou de moins n'ont pu émouvoir personne. En revanche, si l'on peu titiller un Apple ou un Microsoft sur sa lenteur à colmater des outils système généralement protégés par une défense périmétrique conventionnelle, parler de défauts dans des programmes qui n'ont strictement rien de grand public et qui jouent le rôle de mécanismes indispensables à la bonne marche de certaines entreprises, c'est une tout autre histoire. Les conséquences d'une divulgation sur un SGBD ou un outil métier sont financièrement coûteuses, et Cerrudo aurait pu recevoir, outre les courriers des avocats d'Oracle, tout la correspondance des entreprises clientes qui se seraient retournées contre l'instigateur « de facto » d'une probable attaque. Ajoutons enfin que les conséquences d'une rustine de mauvaise qualité sur une station de travail provoquera généralement moins de dégâts qu'un patch « forcé » et de mauvaise qualité sur une application serveur. C'est d'ailleurs pour éviter le risque d'une régression (un « bug » dans la rustine pouvant provoquer un mal pire que le danger initial) que certains clients de grosses applications centrales ont de plus en plus recours aux « patchs virtuels ». Ces sortes de filtres excessivement spécifiques agissent sur les flux « niveau 7 ». Cette solution n'est pas elle-même absolument parfaite, mais elle offre un avantage indiscutable : L'application n'est, à aucun moment, modifiée par un bout de programme. Il est en outre plus facile d'agir lorsqu'il s'agit d'enlever en urgence une « mauvaise » correction. Et dans tous les cas, pas de correction du tout -donc pas de modification ni des flux entrants, ni du code exécuté- sera toujours préférable à un défaut même bien corrigé. De là à dire que certaines groupes d'utilisateurs d'applications serveur préfèrent un bon gros bug ignoré à une petite faille colmatée, il n'y a qu'un pas. Mais on ne peut que regretter cette reculade de Cesar Cerrudo. Non pas pour la « joie » de voir une fois de plus l'image du SGBD « unbreakable » s'effriter un peu plus. Mais parce qu'elle fait prendre conscience que, depuis les 2 dernières années, les techniques d'attaque par injection SQL se sont étonnamment perfectionnées et répandues. Que toutes ces communications liées aux instabilités des applications serveur, malgré ce que prétendent les associations d'éditeurs de logiciels, tendent à accélérer les processus de colmatage. Que le lent glissement du hacking « pour la gloire » vers un hacking à tendance mafieuse profite de la moindre faille « connue mais laissée sous silence »... et que, a posteriori, toute rétention d'information dans ce domaine servira l'intérêt des personnes les moins honnêtes.
