Alerte de sécurité sur les bases de données Oracle 11g

Une alerte a été lancée par un expert en sécurité travaillant pour AppSec Inc. (Société spécialisée dans la sécurisation des bases de données) concernant une faille de sécurité sur la version 11g 1 & 2 d’Oracle Database.

Cette faille a un impact sur l’authentification des mots de passe et permet, à un « informaticien chevronné » ayant récupéré un identifiant et le nom de la base de données, de trouver le mot de passe associé via une attaque par force brute.

Pour comprendre cette faille et y remédier, vous trouverez ci-joint quelques articles explicatifs :

En français :
Les bases de données Oracle simples à hacker
Ou en Anglais :
http://e-university.wisdomjobs.com/oracle-11g/chapter-336-282/database-security.html
http://www.commitdba.com/blog2/dbaspeak/are-your-oracle-11g-databases-secure.html

Les articles ci dessus permettent de revoir la configuration de vos bases Oracle et  d’activer certains paramètres au démarrage de la base de données (entre autre le « FAILED_LOGIN_ATTEMPTS » et le « SEC_CASE_ SENTITIVE_LOGON »). Ou de restreindre les connexions  (plage d’adresses IP exclue ou autorisée…)

Adopter le fonctionnement en mode SaaS… ? Oui…mais sous conditions !

La mode actuelle des Sociétés de Service Informatique (SSII) est de proposer à leurs clients des applications en mode… SaaS.

Quelle est la signification de cette nouvelle méthode d’utilisation des outils informatique ? Est elle entièrement sécurisée ? Quels sont les avantages directs (Financiers, Techniques, Délai de mise en place…) ? Quels sont les risques et comment s’en prémunir … ? 

Nous allons aborder ces questions tous le long de cet article, en espérant vous donnez des bases de réflexions sur cette nouvelle façon d’utiliser « l’Informatique Professionnel ».

Fonctionner en mode SAAS ?? Qu’es aquò ?

Le SaaS ou « Software as a Service » (Logiciel en tant que service) est arrivé en 2009 (après l’arrivée du Cloud computing en 2006 par la Société Amazon) avec l’annonce  de Microsoft et de SAP (spécialisée dans les outils de gestion pour l’ensemble des process d’une entreprise)  – et quelques autres grands fournisseurs, tels que IBM, CISCO, HP…  – de mutualiser leurs offres afin d’offrir à leurs clients des solutions modernes, de centralisation des prestations informatiques (Matériels, logiciels, maintenance).

Concrètement, une solution SaaS permet à une entreprise de déporter logiciels, matériels (Serveurs, outils de sauvegarde…) ainsi que tous les services liés à l’assistance  chez son fournisseur informatique. Le client ne paie donc pas pour posséder le logiciel mais plutôt pour l’utiliser. Le coût (s’apparentant à un loyer mensuel) est donc lié au nombre d’utilisateurs et englobe le coût des licences, de la maintenance et de l’infrastructure.

On assimilera donc cette dépense à un coût de fonctionnement plutôt qu’à un investissement.

L’utilisation du logiciel nécessite uniquement l’acquisition d’ordinateurs et d’un accès internet.

Les avantages semblent assez clairs, surtout en matière financière :

Le coût cumulé du fonctionnement en mode SaaS est très souvent supérieur à l’acquisition du logiciel et du matériel.

Cependant, il faut tenir compte du service fourni par le prestataire :

  • Dans le domaine technique : Maintenance 24/24 du matériel, Sauvegarde des données, migration des serveurs, installation des correctifs système (Microsoft par exemple)…
  • Dans le domaine fonctionnel : Changement de version de l’application, hotline pendant les heures d’ouverture voir même plus (WE par exemple), gestion des risques en matière d’anomalies (ou Bug) fonctionnelles….

L’ensemble des services fourni permet au client de ne pas avoir en interne ces compétences techniques et fonctionnelles (et donc de limiter des ressources en personnel).

Autre avantage, et non des moindres, le client ne paye uniquement ce qu’il consomme, aussi bien en terme de ressources matérielles que d’accès aux logiciels.

Quels sont alors les inconvénients ?

Certains inconvénients sont évidents, et c’est même pour cela que le marché du SaaS  n’a pas explosé en France.

  • La sécurité des données du client :

Les premières questions sont très souvent les mêmes : Ou sont stockés les serveurs et donc les données ? Quelles sont les actions préventives contre le vol ou le piratage ? Quel niveau de confidentialité le client peut espérer … ?

Mais les questions sont encore plus complexes que cela. Car il est nécessaire de connaître le fonctionnement en interne du fournisseur (Qui a accès aux salles serveurs, comment sont gérées les mots de passe administrateurs des applications…), de vérifier ses certifications (Iso 9001 et Iso 9004) et ses process écrits (Documents de contrôle d’accès, Plan de continuité d’Activité…).

Il est donc recommandé d’auditer sur pièces (vérification des process, des certifications…) et sur place (vérification des installations et procédures de sécurité) le fournisseur.

  • La disponibilité de l’application :

Des garanties doivent être apportées par le fournisseur sur la disponibilité de l’application c-a-d contre l’arrêt intempestifs de serveurs (avoir par exemple un groupe électrogène conséquent), l’arrêt de la connexion internet – côté fournisseur -, l’arrêt de l’application elle-même….

Mais il faut aussi s’assurer, du côté client, que sa connexion internet soit sure et disponible à 100%…

  • La liberté d’action face au fournisseur :

Le dernier point abordé est la relation avec le fournisseur. S’engager vers une solution SaaS, c’est se lier au fournisseur dans le long terme et, peut être, générer des contraintes supplémentaires en cas de conflits ou de changement d’avis. La liberté d’action n’est pas nécessairement du côté du client…Ou alors, il faut définir juridiquement les clauses de ruptures de contrat.

En conclusion, adopter un fonctionnement en mode SaaS signifie revoir la politique globale de son Système d’information. Cela nécessite une réflexion en amont du projet, des compétences pour gérer le projet et le fournisseur …mais qui au final apportera une qualité de services supérieure pour un coût directement lié à votre utilisation. Il ne faut pas oublier que chaque entreprise doit principalement se concentrer sur son activité, ses points forts…et dépenser le moins de temps sur des activités annexes.