Oracle : "Il est illégal de trouver des failles de sécurité dans nos produits"


  • FrançaisFrançais



  • Dans un article qui a attiré les foudres de la communauté des chercheurs en sécurité informatique, Mary Ann Davidson, responsable de sécurité chez Oracle, exige de ne pas faire de l’ingénierie inverse sur leurs codes, car c’est contraire aux conditions d’utilisation de leurs produits.

    Sérieusement, on ne comprend plus comment des entreprises réputées peuvent faire des erreurs de communication tellement grossières. Mary Ann Davidson est la responsable de sécurité informatique chez Oracle. Hier, elle a publié un long article indiquant aux chercheurs en sécurité informatique de ne plus faire d’ingénierie inverse sur leurs produits. L’ingénierie inverse consiste à décompiler les fichiers exécutables pour accéder au code source. Cela permet aux chercheurs de sécurité de trouver des failles.

    Et donc, notre Mary Ann Davidson s’en va en guerre en disant que l’ingénierie inverse est contraire aux conditions d’utilisation d’Oracle. Elle ajoute qu’Oracle possède un département dédié à la sécurité et l’analyse de leurs produits (le même Oracle qui développe Java). Et que ce n’est pas aux chercheurs tiers de chercher des failles. En gros, cette personne nous dit simplement que les produits d’Oracle doivent rester insécurisés pour le bien d’Oracle. De plus, elle se déchaine aussi sur les programmes de récompense (Bug Bounty) qui offre des compensations financières aux chercheurs qui trouvent des failles. Elle estime que c’est devenu un marché lucratif et que certains chercheurs ne pensent qu’à ça et qu’ils en ont fait même leur gagne-pain. Ben oui, madame, on n’aurait pas besoin d’un Bug Bounty si vous passiez du temps à développer des produits sécurisés. Si on prend l’exemple de Java, de nombreuses mises à jour ne sont pas des correctifs de sécurité, mais plutôt des fonctionnalités supplémentaires. De plus, Java propose des correctifs uniquement tous les 4 mois et elle ose affirmer qu’on n’a pas besoin d’un audit externe ?

    Elle écrit également que les chercheurs créent la peur et la panique en publiant les failles de sécurité. En gros, un article qui montre toute l’incompétence d’Oracle et on devrait avoir peur parce que c’est cette femme qui est chargée de toute la sécurité informatique chez Oracle. Un utilisateur sur Twitter nommé small_data a parfaitement résumé le point de vue d’Oracle :

    Dans l’Antiquité, les conditions d’utilisation de la ville de Rome stipulaient que les Visigoths n’avaient pas le droit de recruter des consultants qui connaissaient des accès cachés à la ville.

    Mary Ann Davidson s’est pris une telle volée de bois vert que l’article d’origine a été supprimé. Mais on peut le lire dans Google Cache ou Zerobin.

     

    N'oubliez pas de voter pour cet article !
    1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (No Ratings Yet)
    Loading...

    Houssen Moshinaly

    Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009 et vulgarisateur scientifique.

    Je m'intéresse à tous les sujets scientifiques allant de l'Archéologie à la Zoologie. Je ne suis pas un expert, mais j'essaie d'apporter mes avis éclairés sur de nombreux sujets scientifiques.

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.