La tension monte entre Oracle et les chasseurs de bugs
Oracle ne goûte guère le travail effectué par les indépendants à la recherche des failles dans ses produits. Les tensions entre l'éditeur et les chasseurs de bugs croissent depuis plusieurs semaines et opposent deux visions : d'un côté, celle d'Oracle, qui reproche aux "bug hunters" leur incursion sur un terrain qui ne devrait pas être le leur ; de l'autre, celle des indépendants, qui pointent du doigt les pratiques d'Oracle en matière de sécurité.
Le 27 novembre, Eric Maurice, un des responsables de la sécurité d'Oracle, indiquait ainsi que son groupe attachait la plus grande attention au traitement des vulnérabilités mais qu'il s'arrogeait le soin de les traiter dans l'ordre qu'il jugeait le plus opportun. Selon Eric Maurice, peu importe l'auteur de la découverte de la faille, seul compte le risque qu'elle fait courir. Dans le même esprit, il s'en est pris aux spécialistes en sécurité mettant à jour les failles dites zero-day avant même que les éditeurs ne publient leurs rustines : "de telles pratiques sont irresponsables et aboutissent à exposer inutilement les utilisateurs à des risques d'attaque". Un avis qui tombe comme une réponse aux nombreuses critiques adressées ces dernières semaines au groupe.
C'était notamment le cas avec Next Generation Security Software, une entreprise britannique, qui indiquait récemment que les bases de données Oracle comportent davantage de failles que celles liées à Microsoft SQL Server. De l'autre côté de l'Atlantique, en Argentine, un spécialiste de la sécurité avait annoncé - avant de subitement abandonner son projet - qu'il dévoilerait une faille zero-day par jour en décembre. S'il a tiré un trait sur son projet, il explique néanmoins que les éditeurs, dont Oracle, devraient davantage se focaliser sur un développement "responsable" que de s'attaquer aux "pratiques de révélation des failles".