Bonjour toutes et tous,

Failles logicielles : Oracle critiqué pour son manque de transparence
Le cabinet d'études Gartner demande au géant des bases de données plus d'informations sur la nature des vulnérabilités affectant ses logiciels.
Le refus d'Oracle de donner plus de précisions sur une vulnérabilité, récemment découverte, de ses produits met en danger les utilisateurs, prévient Gartner. Selon le cabinet d'analyses, qui tire ses informations d'un entretien mené le 9 novembre 2004 avec Oracle, ce dernier a refusé de fournir plus d'informations sur les failles que son correctif de sécurité n°68 est censé colmater.
Le géant des bases de données a insisté sur le fait que son approche était cohérente avec sa politique vis-à-vis des standards. Oracle a, dans un premier temps, sorti son patch de sécurité le 31 août, puis a renouvelé son avertissement le 14 octobre alors qu'un code opérationnel d'exploitation des failles circulait sur Internet. Le correctif, auquel Oracle a attribué son plus haut degré d'importance ("Severity 1"), concerne les applications Database Server, Application Server et Enterprise Manager.
Informer sans aider les hackers
"Oracle refuse de fournir plus de détails sur les conséquences pour les utilisateurs de la non-application du patch n°68", préviennent Neil MacDonald et Rich Mogull dans le compte-rendu de Gartner. "De plus, Oracle n'a pas indiqué si les vulnérabilités affectent les anciennes versions de ses logiciels pour lesquelles il ne fournit plus de support. Dans le pire des cas, toutes les bases de données d'Oracle pourraient être en danger."
Tout en admettant que donner des informations détaillées pourrait aider les hackers à exploiter les failles, Gartner souligne que l'on peut très bien préciser les implications d'une absence de protection sans suggérer la façon d'exploiter ces vulnérabilités. "Nous pensons qu'Oracle commet une erreur en refusant de discuter du danger dans lequel se trouvent les utilisateurs s'ils n'appliquent pas le patch", écrit Gartner. "Les administrateurs de systèmes ne disposent pas d'informations suffisantes pour prendre leurs décisions - par exemple, quels serveurs doivent être protégés en priorité ou quel type de données est le plus vulnérable - ce qui pourrait retarder l'implémentation des correctifs."
Mise à jour ou migration
Selon Oracle, une exploitation de ces vulnérabilités pourrait ressembler à un échange SQL.Net classique et ne dépendrait pas de "mauvaises" commandes SQL.Net qui pourraient facilement être bloquées. Pour Gartner, "si Oracle donnait plus d'informations sur la nature des failles, ses clients seraient en mesure de réagir en vérifiant leurs pare-feu, leurs systèmes de prévention des intrusions et leurs firewalls applicatifs utilisant des fonctionnalités SQL.Net."
Le cabinet d'études conseille aux sociétés utilisant une version encore supportée des logiciels concernés d'appliquer au plus vite le patch fourni par Oracle. Quant aux entreprises possédant des versions plus anciennes, telles que les versions 7.x ou 8.x, elles devraient envisager une mise à jour immédiate ou une migration vers une autre application. Le rapport conseille également aux clients d'Oracle un chiffrement au niveau des champs afin de protéger les données vis-à-vis des accès non autorisés et de consulter régulièrement les FAQ Metalink d'Oracle pour plus d'informations sur le correctif.

Un mystérieux programme dans les imprimantes Lexmark
Un client américain du constructeur a découvert la présence d'un logiciel espion sur son système, après avoir installé son imprimante. Lexmark lui a expliqué que ce programme alimente ses études clients, sans «collecter de données personnelles».
LONDRES – Le fabricant américain d’imprimantes Lexmark installerait à l'insu de ses clients un petit programme espion, ou "spyware", afin de surveiller l'usage qui est fait de ses machines. C'est ce qu'affirme un utilisateur mécontent sur un groupe de discussion Usenet dédié au monde de l'impression (comp.periphs.printers).
L'auteur du message posté le 9 novembre explique ainsi avoir acheté une imprimante "Lexmark X5250 All-in-one", puis installé sur son PC les pilotes et autres applications nécessaires à son fonctionnement. Il a alors découvert qu'un fichier baptisé "Lx_CATS" avait été placé dans un répertoire système de Windows (c:\program_files\lexmark500). Un fichier qui, après analyse, aurait tout du spyware.
L'utilisateur estime qu'il serait programmé pour ouvrir un port sur l'ordinateur et envoyer tous les 30 jours un paquet de données à une URL appartenant à Lexmark. Il s'agirait d'informations sur l'usage de l'imprimante, notamment la consommation des cartouches d'encre.
Contactant la hotline américaine de Lexmark, il se voit répondre, après avoir insisté, qu'«aucune donnée personnelle n'est collectée par ce programme». Le fabricant assure que le nom de l'utilisateur n'est pas relevé; l'objectif de ce programme serait d'aider Lexmark dans ses «études» de clientèle.
Impossible de savoir pour l'instant si ce spyware revèle ou non l'utilisation d'une cartouche "non officielle"; rappelons que Lexmark combat l'emploi de ces consommables alternatifs.
Reste que le programme transmet le numéro de série de la machine; or ce numéro est relié au nom de l'utilisateur que ce dernier doit fournir s'il veut profiter de la garantie, fait remarquer l'utilisateur suspicieux. Pour lui, cette «installation non documentée d'un programme espion» constitue une violation de sa vie privée. Et une pratique peu reluisante pour le leader mondial de l'impression.