Les news

informatique & électronique

Quelques failles XSS dans les sites web d’Oracle

by

Oracle Corporation

Oracle Corporation est une entreprise créée en 1977, dont le siège social se situe à Redwood Shores en Californie. Le produit le plus connu de cette société est Oracle Database, un système de gestion de bases de données très puissant (mais aussi très cher).
En 2009, l’entreprise rachète pour 7,4 milliards de US dollars Sun Microsystems, la société éditrice entre autre d’une technologie très populaire : Java.

Quelques faits

Oracle, célèbre éditeur du système de gestion de base de données éponyme, est également propriétaire de feu l’entreprise Sun et également des produits de Sun ( Solaris, Java, Mysql, OpenOffice … )
Leurs (relatives) récentes acquisitions leurs ont permi d’investir dans de multiples domaines d’activités et de fournir des solutions polyvalentes et cohérentes; En effet Oracle est présent dans pratiquement tous les secteurs d’activités notamment les services financiers, les communications, la santé, les assurances, les sciences, les domaines publiques, la chimie, l’automobile, l’aérospatiale et la défense…

Comme l’eut été SUN en ses débuts, Oracle est souvent critiqué. Les différentes communautés qui animaient les projets populaires craignent, depuis leurs rachats par Oracle, que les produits n’évoluent plus au profit de leurs propres solutions. L’exemple type a été le changement des conditions et des prix des licences de Mysql afin d’être plus cohérent par rapport à Oracle DataBase. Ou encore les soucis d’OpenOffice, dont la communauté à préférée éditer LibreOffice …
Oracle a montré son investissement dans ces projets, même si des doutes persistent sur la bonne volonté de l’entreprise.

Une Solution sûre et pérenne…

Récemment, une nouvelle affaire devrait relancer certains débats;
Deux sous-domaines du site internet Sun ainsi que le site de Mysql ont été victimes d’une attaque informatique.
Rien de bien original dans le monde du web, où à chaque instant des pirates du monde entier tentent de s’introduire dans tous les sites qu’ils rencontrent.
L’ironie du sort est que non seulement l’attaque à réussie ( ce qui remettrait en cause la sécurité des produits ) mais également dans le fait que le propriétaire de deux des plus importants SGBD est tombé grâce à des injection de code SQL ( également nommée XSS pour Cross-Site-Scripting, par les intimes ).
Ce qui remet en cause non seulement leurs images de marque, mais également leurs compétences…
Certains détails restent sous silence au moment de la rédaction, on sait cependant que TinKode et Ne0h ( des pirates Roumains )
ont eu accès aux noms des tables, des colonnes et des adresses électroniques enregistrées dans l’une des tables de la base de données. A ce stade, il n’est pas établi que les pirates aient pu avoir accès aux mots de passe du site Sun.com …

Hélas il ne faut pas oublier que les failles XSS sont monnaie courante dans le domaine du web. En effet, des experts en sécurité du site XSSed (spécialisé dans les failles XSS) pointent du doigt les sites MySQL.com et Sun.com qui comporteraient « un certain nombre » de vulnérabilités cross-site-scripting, à ce jour non-fixées.

Cette affaire risque de faire couler beaucoup d’encre, tant la chose à de quoi choquer. Le site même de Mysql serait faible et violable. Faut-il y voir un risque pour les milliers d’application web utilisant Mysql?
Pas forcement, Il n’y a pas de problème au niveau même du SGBD mais au niveau du codage du site.
un expert de l’entreprise Sophos (qui rappelons-le présente des solutions de sécurité et vis également de prestation d’audit ) explique :
« It does not appear to be a vulnerability in the MySQL software, but rather flaws in the implementation of their websites.
Auditing your websites for SQL injection is an essential practice, as well as using secure passwords.»

« Le problème ne vient pas du logiciel de base de données open source (MySQL) mais de la façon dont le site Web a été codé
Pratiquer des audits d’injections SQL est une pratique essentielle, de même qu’utiliser des mots de passes sûrs »

Difficile d’être plus clair, lorsque l’on propose des audits de sécurité …

La boucle est bouclée, revenons au départ

Il n’y a donc pas de problème avec Mysql ou Sun, mais restent certaines questions quant au maintien des offres open source. Open Solaris n’est plus maintenu par Oracle, OpenOffice peine à évoluer alors que les mêmes sources ont permis à Oracle de sortir une version cloud de la suite bureautique, les changements dans les licences de Mysql…

La communauté vient donc de récupérer un moulin afin de continuer a moudre leurs grains!
Comment prendre la nouvelle? faut il craindre sur l’évolution de Mysql ?
Oracle suit-il réellement ces nouveaux produits, ou les rachètent-ils uniquement pour éviter la concurrence?
Seul l’avenir nous le dira, Oracle ne pouvant régler par un coup de baguette magique le problème!
pour Sun.com, le nom de domaine a été redirigé vers une page interne du site de l’éditeur.
Reste que si les propos de XSSed sont fondés, un gros travail sera nécessaire afin de déceler et combler toutes les failles présentes.

Site officiel d’oracle
Oracle se lance dans la bureautique en ligne avec Cloud Office
Apple rejoint le projet OpenJDK
Oracle et Sun : ce n’est pas fini !
Une injection SQL sans ordonnance pour les sites de Sun et MySQL

lectures complémentaires:

  1. Encore une nouvelle technologie de batterie qui se charge en quelques secondes pour des jours d’autonomies !
  2. Quelques langages utiles à connaitre en électronique
  3. De grand groupes au sein du Libre

Interactions du lecteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.