Sécurité

Oracle demande à ses clients d’arrêter d’analyser son code à la recherche de failles de sécurité – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

La responsable de la sécurité d’Oracle, Mary Ann Davidson, aimerait vraiment, vraiment que les clients de l’entreprise et les chercheurs indépendants en sécurité cessent d’effectuer tout type d’analyse sur la base de code de l’entreprise. Et elle a probablement un nouveau roman policier qui sort bientôt !

Dans un article de blog maintenant supprimé, Davidson a abandonné son nom en tant qu’auteur mystère (elle travaille en collaboration avec sa sœur), avant d’entrer dans le vif du sujet – elle en a tout simplement marre des clients embêtants qui embauchent des entrepreneurs indépendants ou des analystes pour effectuer une analyse de code du logiciel Oracle, puis avoir le culot d’envoyer ces analyses à Oracle et prétendre qu’il pourrait y avoir un problème. Grâce à la magie de Google et de quelques chercheurs agacés, son post reste disponible dans divers coins du web.

Dans le message, Davidson reconnaît que l’état actuel de la sécurité Internet est suffisant pour rendre n’importe qui paranoïaque, mais déclare ensuite que les consommateurs devraient prendre toutes les mesures possibles pour verrouiller toutes les failles possibles avant même considérant effectuer une analyse de code. Elle aimerait également que vous sachiez qu’en vertu des termes du contrat de licence Oracle, il vous est explicitement interdit d’effectuer cette analyse de toute façon, quelle que soit l’importance que vous pensez qu’elle est.

Oracle

L’organisation d’Oracle.

L’ensemble du message est un exercice magistral de condescendance envers les mêmes clients qui paient à son entreprise d’énormes frais de licence. Les inquiétudes des clients concernant les exploits zero-day sont considérées comme de l’hyperventilation. Selon Davidson, les clients devraient « parler aux fournisseurs de leurs programmes d’assurance ou vérifier les certifications des produits pour lesquels il existe des sceaux Good Housekeeping (ou des sceaux de ‘bon code’) comme les certifications Critères communs ou les certifications FIPS-140 ». La recherche réelle concerne les imbéciles et les contrevenants à la licence – réel les clients savent que la sécurité est assurée par un logo, un autocollant et un peu de colle.

Le titre sur la diapositive fait vraiment ce travail.

Mary Ann Davidson. Le titre sur la diapositive fait vraiment ce travail.

Les pires clients sont ceux qui utilisent des outils (ou embauchent des analystes pour utiliser des outils), puis soumettent ces rapports à Oracle et demandent des éclaircissements sur la réalité ou non d’une faille détectée. Davidson note correctement que les rapports d’analyse ne sont pas réellement la preuve d’un problème réel, mais si Oracle détecte qu’un rapport a été généré par rétro-ingénierie de leur code, « nous envoyons une lettre au client pécheur, et une autre lettre au consultant pécheur -agissant au nom du client – en leur rappelant les termes de l’accord de licence Oracle qui empêchent l’ingénierie inverse, alors s’il vous plaît arrêtez-le déjà.

Psssssst :  Google, Samsung et LG promettent des correctifs de sécurité Android mensuels

Pêcher. Mot généralement défini comme un acte immoral considéré comme une transgression de la loi divine. Je ne suis pas un érudit religieux, mais je ne me souviens pas de l’Évangile selon le CLUF, dans lequel le Christ s’insurge contre les consultants en sécurité et déclare « Heureux ceux qui font confiance naïvement, car ils ne seront pas piratés ». Davidson déteste analyse de codes, comme elle le précise dans d’autres articles de blog.

Je voudrais juste prendre un moment pour rappeler à tout le monde qu’Oracle – la société qui crie « Non, sérieusement, FAITES-NOUS CONFIANCE », maintient également et continue d’expédier Java.

C’est tout.

Bouton retour en haut de la page