Ajouter à une liste de lectureLes bases de données en général, dont Oracle, sont installées au cœur des réseaux et interagissent avec un grand nombre de systèmes de l'entreprise. Le peu de protections dont elles bénéficient contraste avec la criticité des informations qu'elles possèdent. Si le risque souvent retenu se limite au vol d'informations, les possibilités de rebond sont tout de même réelles et peuvent même ouvrir la porte du système. Oracle offre en ce sens un grand nombre de possibilités.
1. Introduction
« Unbreakable Oracle ». C'est avec ces mots que se lançait l'une des plus grosses campagnes de marketing d'Oracle en 2001. 13 ans plus tard, on mesure bien le caractère arrogant de cette déclaration qui aura conduit bon nombre d'utilisateurs et de chercheurs en sécurité à s'interroger sur la sécurité réelle du produit et à y découvrir de nombreuses vulnérabilités.
Qu'en est-il en 2014 ? Les vulnérabilités (historiques) qui affectaient les versions plus anciennes d'Oracle ont fini par disparaître avec les versions successives qui les ont remplacées. Les connecteurs réseau (dont le célèbre « TNS Listener ») n'offrent plus leurs services à tout vent et ne permettent plus de provoquer un déni de service en demandant l'arrêt du connecteur. Si l'accès distant à la base est rendu plus compliqué pour un attaquant, comment faire pour interagir avec celle-ci ? Comment tenter de compromettre le système ? Est-on enfin…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première