Dans un message publié sur un blog, puis rapidement supprimé, Oracle a vivement critiqué les consultants en sécurité tiers et les clients qui y avaient recours. Rédigé par la directrice de la sécurité d’Oracle, Mary Ann Davidson, le message blâmait les clients qui décortiquent eux-mêmes les logiciels propriétaires d’Oracle par ingénierie inverse ou embauchent des consultants pour le faire, afin de trouver des failles de sécurité non corrigées. Le message titré « Non, vous ne pouvez vraiment pas faire ça » a été publié lundi sur le blog d'entreprise de Mary Ann Davidson, avant d’en être retiré quelques heures plus tard. Mais Internet Archive avait déjà fait une capture d’écran de la lettre mise en ligne.

« Le message a été retiré, car il ne reflète pas nos idées, ni notre relation avec nos clients », a écrit Edward Screven, vice-président exécutif d'Oracle et architecte en chef de l'entreprise, dans un communiqué de presse envoyé hier. Le message répondait au nombre de plus en plus conséquent de rapports d'analyse statique envoyés à Oracle par ses clients, l'analyse statique étant le processus d'inspection du code objet ou du code source d'un programme pour trouver des vulnérabilités.

Une critique des programmes de bug bounty

Les entreprises peuvent embaucher un consultant en sécurité tiers ou un spécialiste de la sécurité logicielle, comme Veracode ou Coverity, pour analyser le logiciel de l'entreprise qu’elles utilisent pour rechercher des bogues encore inconnus qui pourraient être exploités pour pirater leur système. Selon la directrice de la sécurité d’Oracle, ces tests sont rarement nécessaires et pointent souvent des défauts qui n’existent pas. « La plupart de ces outils ont un taux de faux positifs proche de 100 %, alors, évitez, s'il vous plaît, de nous faire perdre notre temps en nous signalant des petits hommes verts dans notre code », avait-elle écrit. « Nos clients se rendraient davantage service en prenant soin de garder leur logiciel à jour qu’en recherchant d'obscures vulnérabilités zero-day inconnues », avait-elle encore écrit.

Mary Ann Davidson a rappelé à ses clients que de telles analyses, notamment l’inspection du code objet du programme, violent les termes de la licence d'Oracle, car ils impliquent de l’ingénierie inverse, technologie de démontage du code pour comprendre comment il fonctionne. Celle-ci s’en prend au passage aux programmes de primes aux bogues, comme ceux mis en place par Microsoft ou Google, qui versent de l’argent aux chercheurs qui déterrent des failles logicielles jusque-là inconnues. Ce genre de programme n’apporterait pas grand-chose à Oracle, puisque l’éditeur trouve la majorité des bogues grâce aux tests qu’il réalise en interne.

Sans surprise, de nombreuses entreprises de sécurité n’ont pas apprécié le ton et la nature du message de la directrice de la sécurité. « Décourager les clients de faire remonter les vulnérabilités ou leur dire qu'ils violent les accords de licence en pratiquant l'ingénierie inverse, revient à nier les progrès accomplis pour améliorer la sécurité des logiciels », a écrit Chris Wysopal, CTO et CISO de VeraCode, dans un communiqué envoyé par courriel.