Un demi-million de bases de données sans protection sur Internet
Près d'un demi-million de serveurs de bases de données Oracle et Microsoft sont laissés sans protection et sont accessibles librement depuis Internet. C'est ce qu'affirme le chercheur en sécurité David Litchfield, éditeur du site Databasesecurity.com, dans la deuxième édition de son étude Database exposure survey qui sera publiée lundi prochain.
Le chercheur a scanné de façon aléatoire le port réservé à SQL Server et Oracle de presque un million d'adresses IP. Résultat : 157 SQL Server et 53 bases Oracle trouvées, et donc sans protection. En croisant ces chiffres avec les estimations d'installations, il est parvenu à la conclusion qu'"il y a approximativement 368 000 serveurs Microsoft et 124 000 serveurs Oracle directement accessibles sur Internet".
Si on peut s'interroger sur la pertinence de la méthode, David Litchfield, quant à lui, se veut alarmant. Car ces résultats démontrent que le nombre de bases Microsoft et Oracle non protégées va en grandissant. Il y a deux ans, à l'occasion de la première édition de l'étude, il ne recensait alors que 140 000 systèmes Oracle et 210 000 systèmes Microsoft sans protection.
L'étude, obtenue en avant-première par nos collaborateurs d'IDG News Service, explique également que les systèmes pointés du doigt reposent sur d'anciennes versions des logiciels, qui pour la plupart n'ont pas été mises à jour, ou pire, ne reçoivent plus de mises à jour de sécurité - le support ayant expiré. 13% des systèmes Oracle en question fonctionnent sur la version 9, ou précédente, de la base de données, "reconnue pour être vulnérable". 82% des systèmes Microsoft fonctionnent sous SQL Server 2000 et pour la moitié d'entre eux, sans le Service Pack 1 d'installé. Ce qui, selon David Litchfield, laisse le champ libre à des exploits majeurs pourtant très médiatisés, comme le ver Slammer.
Cette année, les bases MySQL ne font pas partie du périmètre. Dans la version précédente de l'étude, David Litchfield en avait trouvé pourtant une proportion importante. Il écrivait d'ailleurs : « Il y a davantage de serveurs MySQl exposés que je n'aurais cru et, comme pour SQL Server et Oracle, la plupart des systèmes trouvés faisaient tourner d'anciennes versions, non patchées ».