Oracle : "Il est illégal de trouver des failles de sécurité dans nos produits"

par ·


  • FrançaisFrançais


    • Suivez-nous sur notre page Facebook et notre canal Telegram


    Dans un article qui a attiré les foudres de la communauté des chercheurs en sécurité informatique, Mary Ann Davidson, responsable de sécurité chez Oracle, exige de ne pas faire de l’ingénierie inverse sur leurs codes, car c’est contraire aux conditions d’utilisation de leurs produits.

    Sérieusement, on ne comprend plus comment des entreprises réputées peuvent faire des erreurs de communication tellement grossières. Mary Ann Davidson est la responsable de sécurité informatique chez Oracle. Hier, elle a publié un long article indiquant aux chercheurs en sécurité informatique de ne plus faire d’ingénierie inverse sur leurs produits. L’ingénierie inverse consiste à décompiler les fichiers exécutables pour accéder au code source. Cela permet aux chercheurs de sécurité de trouver des failles.

    Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊

    Et donc, notre Mary Ann Davidson s’en va en guerre en disant que l’ingénierie inverse est contraire aux conditions d’utilisation d’Oracle. Elle ajoute qu’Oracle possède un département dédié à la sécurité et l’analyse de leurs produits (le même Oracle qui développe Java). Et que ce n’est pas aux chercheurs tiers de chercher des failles. En gros, cette personne nous dit simplement que les produits d’Oracle doivent rester insécurisés pour le bien d’Oracle. De plus, elle se déchaine aussi sur les programmes de récompense (Bug Bounty) qui offre des compensations financières aux chercheurs qui trouvent des failles. Elle estime que c’est devenu un marché lucratif et que certains chercheurs ne pensent qu’à ça et qu’ils en ont fait même leur gagne-pain. Ben oui, madame, on n’aurait pas besoin d’un Bug Bounty si vous passiez du temps à développer des produits sécurisés. Si on prend l’exemple de Java, de nombreuses mises à jour ne sont pas des correctifs de sécurité, mais plutôt des fonctionnalités supplémentaires. De plus, Java propose des correctifs uniquement tous les 4 mois et elle ose affirmer qu’on n’a pas besoin d’un audit externe ?

    Elle écrit également que les chercheurs créent la peur et la panique en publiant les failles de sécurité. En gros, un article qui montre toute l’incompétence d’Oracle et on devrait avoir peur parce que c’est cette femme qui est chargée de toute la sécurité informatique chez Oracle. Un utilisateur sur Twitter nommé small_data a parfaitement résumé le point de vue d’Oracle :

    Dans l’Antiquité, les conditions d’utilisation de la ville de Rome stipulaient que les Visigoths n’avaient pas le droit de recruter des consultants qui connaissaient des accès cachés à la ville.

    Mary Ann Davidson s’est pris une telle volée de bois vert que l’article d’origine a été supprimé. Mais on peut le lire dans Google Cache ou Zerobin.

     

    Suivez nous sur Google News
    Mes livres
    Le Basilic de Roko Mon parcours de rédacteur web Science corrompue et servile Nous, Tueurs en série

    Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊

    Tags:

    Houssen Moshinaly

    Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009.

    Blogueur et essayiste, j'ai écrit 9 livres sur différents sujets comme la corruption en science, les singularités technologiques ou encore des fictions. Je propose aujourd'hui des analyses politiques et géopolitiques sur le nouveau monde qui arrive. J'ai une formation de rédaction web et une longue carrière de prolétaire.

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *