Une faille béante détectée dans certaines bases de données Oracle

Il suffirait de cinq heures et d’un PC ordinaire pour pénétrer de force dans certaines bases de données d’Oracle. C’est du moins la démonstration faite par Esteban Martinez Fayo, chercheur à l’AppSec, lors de l’Ekoparty Security Conférence de Buenos Aires.

Cette attaque s’appuie sur une vulnérabilité dans la procédure d’authentification requise par les bases de données Oracle 11g 1 et 2, qui envoie la clé de session avant même que l’utilisateur ne se soit complètement identifié. Il suffit alors de connaître le nom d’utilisateur pour recevoir une clé de session, et deviner alors le mot de passe (qui lui ne change pas d’une session à l’autre).  « L’attaquant peut faire une attaque en force en essayant des millions de mots de passe à la seconde jusqu’à ce que le bon soit trouvé », précise Esteban Martinez Fayo.

Sa société a alerté dès mai 2010 Oracle de l’existence de cette faille, mais celle-ci n’a jamais bénéficié de rustine. Oracle a contourné le problème en changeant la méthode d’authentification dans la génération suivante de sa base de données : Oracle 12.