Oracle est peut être "Unbreakable", mais il l'est plutôt moins que SQL Server. C'est en tout cas la conclusion des spécialistes de la sécurité de Next Generation Security Software (NGSS), selon lesquels le SGBD d'Oracle a souffert de quatre fois plus de vulnérabilités que son concurrent de Microsoft au cours des six dernières années. Entre décembre 2000 et novembre 2006, NGSS a compté 233 vulnérabilités dans le SGBD d'Oracle contre 59 pour SQL Server. L'étude a porté sur les versions 7, 2000 et 2005 de SQL Server et sur les versions 8, 9i et 10g d'Oracle. Pour David Litchfield, le fondateur de NGSS, la réputation de sécurité d'Oracle n'est plus méritée et l'étrillage de Microsoft pour ses trous de sécurité n'est plus de saison. Selon Litchfield, les processus de développement mis en place par Microsoft sous la pression des chercheurs en sécurité semblent produire des résultats. Oracle devrait donc s'en inspirer. Du côté du géant des bases de données, on conteste l'analyse en rappelant que le nombre de failles n'est pas suffisant pour mesurer la sécurité d'un produit. "La richesse fonctionnelle et les capacités varient grandement d'un produit à l'autre, de même que le nombre de plates-formes supportées", rappelle malicieusement Oracle [sans aller jusqu'à rappeler que l'une des pires attaques de SI de ces six dernières années, celle opérée par le ver Slammer, était liée à une faille SQL Server]. " Oracle critiqué pour ses procédures de développement et sa lenteur à publier des correctifs Reste qu'Oracle n'est pas non plus réputé pour sa rapidité à combler les failles dans ses produits et que son attitude vis-à-vis des experts de sécurité lui vaut les foudres de cette communauté. La semaine dernière, Argeniss Information Security a ainsi annoncé son intention de publier un bogue zero-day [un bogue exploitable immédiatement par un exploit disséminé dans la nature, NDLR] durant chaque semaine du mois de décembre. L'idée est de montrer que le processus de publication de correctif actuel d'Oracle est inadapté à la réalité et de contraindre l'éditeur à revoir ses pratiques de développement en matière de sécurité. Comme l'explique Cesar Cerrudo, le créateur de la société, "nous pourrions faire l'année des bugs du SGBD Oracle, mais nous pensons qu'une semaine est suffisante pour montrer à quel point le logiciel d'Oracle est bogué". Il n'est pas sûr que cette initiative ne fasse que des heureux, à commencer par Oracle et par les DBA (Data Base Administrator) utilisateurs du logiciel SGBD de la marque.