« La faille dans Oracle Database 11g Release 1 et 2 expose le jeton fourni par le serveur avant authentification à une attaque par force brute », a déclaré Esteban Martinez Fayo, le chercheur d'Application Security qui a découvert la faille. Si l'attaque réussit, le pirate peut entrer dans la base de données. « Le contournement de l'authentification pose un problème très grave », a estimé dans un mail Kevin Mitnick, un pirate réputé et fondateur de Mitnick Security Consulting. « Pour être exact, un attaquant peut accéder aux informations stockées dans la base de données d'Oracle, et même les modifier ».

La vulnérabilité utilise la manière dont le protocole d'authentification protège les clés de session. Lorsqu'un client se connecte au serveur de base de données, une clé de session est générée avec des données aléatoires. Mais, comme cela se produit avant que le processus d'authentification ne soit terminé, un hacker distant peut lier la clé à un hash spécifique. « Une fois que l'attaquant a une clé de session et cette suite de données aléatoires, il peut effectuer une attaque par force brute sur la clé de session en essayant des millions de mots de passe par seconde jusqu'à ce qu'il trouve le bon code », a expliqué le chercheur sur le blog Threatpost de Kaspersky Labs. Comme le hack se produit avant l'authentification finale, le serveur n'enregistre aucun échec dans le processus de connexion, si bien que l'intrusion peut se faire sans être détectée comme événement anormal.

Une faille persistante

Oracle, qui n'a pas répondu à une demande de commentaire, a livré une mise à jour - version 12 - de sa base de données, laquelle corrige la faille découverte dans le protocole d'authentification. Mais, selon Esteban Martinez Fayo, l'éditeur ne prévoit pas de fournir un correctif pour la version 11.1 défectueuse. Et, même avec la mise à jour, les administrateurs de bases de données doivent configurer le serveur pour n'autoriser que la nouvelle version du protocole. « Parce que la solution nécessite une mise à jour, la vulnérabilité va hanter certains clients d'Oracle pendant des années », a déclaré Justin Clarke, chercheur en sécurité chez Cylance. « Beaucoup de grandes entreprises et d'agences chargées de gérer des infrastructures critiques ne peuvent pas se permettre de prendre le temps ou le risque de mettre à niveau tous les serveurs et clients Oracle », a expliqué le chercheur. « Je peux affirmer avec une quasi-certitude que cette vulnérabilité va persister tant qu'Oracle 11g sera en circulation », a t-il ajouté.

« Le secret autour des précédents défauts affectant le protocole d'authentification d'Oracle a été bien gardé dans le secteur de la sécurité », a ajouté Justin Clarke. « C'est une très bonne chose de voir que de telles questions sont débattues publiquement. J'espère que cela va inciter Oracle à faire quelque chose. J'espère aussi que les utilisateurs vont se poser plus de questions et vont chercher à évaluer la force réelle de ces systèmes ».

Forcer la main des entreprises pour les mises à jour

Brent Huston, directeur général de MicroSolved, une société qui fait des tests de sécurité, a déclaré que même si une entreprise empêchait une base de données vulnérable à se connecter à Internet, les données seraient toujours sous la menace d'une attaque venant de l'intérieur. « Le choix d'Oracle de contraindre le correctif à une mise à jour force vraiment la main des entreprises qui utilisent des technologies de long terme avec des mises à jour réduites, et cela met beaucoup de pression dans les relations de confiance qu'ils entretiennent avec Oracle en tant que vendeur », a déclaré le PDG par mail. « Du fait de cette vulnérabilité, les clients qui n'ont pas mis à jour leurs bases de données devront quand même trouver une certaine forme de protection, en particulier si elles sont soumises à la surveillance des régulateurs », a ajouté Brent Huston. Le chercheur Esteban Martinez Fayo, qui a évoqué la faille lors de l'Ekoparty Security Conference vendredi, explique qu'il a découvert ce problème après avoir remarqué que le client et le serveur géraient différemment les connexions avec des mots de passe incorrects.

Ce n'est pas la première fois qu'Oracle a des problèmes avec ses bases de données. Au mois de janvier, InfoWorld avait révélé une manipulation manuelle permettant de modifier l'identifiant interne unique System Change Number (SCN), pour entrer dans la base de données. Le SCN est une sorte de signature à un moment donné pour chaque transaction. Si une base de données atteint sa limite de transaction, elle pourrait cesser de fonctionner correctement.