« Pouvez-vous nous garantir que les failles d'Oracle -sgbd et Application Server- seront à l'avenir corrigées dans le trimestre suivant leur découverte »
- Non »
La réponse a le mérite d'être clair, aussi franche que la question. Et ceci est rapporté par notre confrère Security Pipeline, qui était présent lors des journées Oracle OpenWorld. « Ce que vous me demandez de faire est impossible. Nous ne pouvons pas vous promettre de corriger un problème indéfini dans une période de temps définie » explique le patron d'Oracle. L'argument est irréfutable, et les clients Oracle ne peuvent que compter sur la bonne foi de l'éditeur pour que les problèmes soient corrigés au plus vite.
Une bonne foi tout à fait discutable si l'on en juge par les propos qu'Ellison a tenu par la suite. « La dernière fois qu'une base Oracle a été crackée, ça remonte à 15 ans. Et lorsque Microsoft a installé un SGBD pour assurer le suivi de numéros de cartes de crédits, ça a pris 45 minutes pour le casser ». En d'autres termes, les problèmes de hacking genre SQL injection ou contournement de mot de passe, élévation de privilèges etc que l'on pourrait rencontrer sur Oracle, relèvent de la responsabilité de leurs seuls administrateurs, qui, soit appliquent mal les rustines, soit configurent mal les serveurs. C'est vrai, ça. Sans les utilisateurs, Ellison aurait nettement moins de problèmes de hack.