Discussion :

[Stéphane le calme]

« Vous n'avez pas le droit d'appliquer le reverse engineering sur notre code pour rechercher des vulnérabilités »,
le coup de gueule de la directrice de la sécurité d'Oracle

Mary Ann Davidson, la directrice de la sécurité d’Oracle, a rédigé un billet de blog qui a provoqué une polémique au sein de la communauté des chercheurs en informatique. « Non, vous ne pouvez vraiment pas », indiquait-elle en guise de titre d’un billet qui va s’avérer cinglant. « Récemment, j’ai observé une recrudescence dans le reverse engineering pratiqué par les clients dans notre code afin d’y chercher des vulnérabilités. < Insérez un grand soupir ici >. C’est la raison pour laquelle j’ai adressé de nombreux courriels à des clients débutant par ‘salut, comment ça va, aloha’ mais qui se terminaient par ‘s’il vous plaît, conformez-vous à votre contrat de licence et commencez déjà par arrêter de faire du reverse engineering à notre code’ », déclarait-elle.

Par la suite, Davidson a blâmé les entreprises tierces en expliquant qu’au lieu de se préoccuper des failles dans la sécurité des produits Oracle, elles devraient plus se focaliser sur leurs propres failles. « Ceci étant dit, vous pouvez être amenés à croire qu’avant de se préparer à courir des kilomètres supplémentaires, les clients se seraient déjà assuré d’identifier leurs systèmes critiques, de chiffrer leurs données sensibles, d’appliquer les correctifs adéquats, d’utiliser des produits supportés, d’utiliser des outils pour s’assurer que les configurations sont verrouillées – en bref, l’hygiène de sécurité habituelle – avant de tenter de trouver des vulnérabilités de type zero day dans les produits qu’ils utilisent ».

Pour elle, même si vous voulez obtenir une certitude raisonnable que les fournisseurs accordent une attention raisonnable à la façon dont ils conçoivent leurs produits, il y a une pléthore d’actions qu’un client peut effectuer comme parler au fournisseur de ses programmes d’assurance ou vérifier la certification des produits comme les certifications Common Criteria ou FIPS-140. « La plupart des vendeurs, du moins la plupart des gros bonnets que je connais, ont des programmes d’assurances robustes (nous le savons parce qu’il nous arrive de comparer nos notes durant des conférences) ». Elle estime que cela devrait suffire à arrêter le client diligent qui se dit « hé, je pense que je vais faire le travail du vendeur et rechercher les problèmes directement dans le code source moi-même » malgré le fait que :

• Un client n’est pas habilité à analyser le code pour vérifier s’il y aurait un contrôle qui empêche l’attaque de l’outil de scan
  
• Un client ne saurait produire un correctif, seul le vendeur peut le faire
  
• Un client se retrouve certainement à la limite de la violation du contrat de licence en se servant d’un outil qui fait de l’analyse statistique (qui opère dans le code source).

Mais qu’advient-il donc si quelqu’un trouvait une faille dans la sécurité d’un produit Oracle et le faisait remonter ? « Si nous déterminons dans le cadre de notre analyse que les résultats analysés pourraient UNIQUEMENT provenir d’un reverse engineering (au moins dans un cas, parce que le rapport avance, assez habilement, "analyse statistique d'Oracle XXXXXX"), nous enverrions une lettre au client qui a pêché et une lettre différente au consultant qui a pêché et agit au nom du client, leur rappelant les termes de l'accord de licence Oracle qui prohibent le reverse engineering, donc, s'il vous plaît cessez déjà. (Dans le jargon juridique, bien sûr l'accord de licence Oracle a une disposition telle que : " le client ne saurait faire du reverse engineering, désassembler, décompiler ou alors tenter de dériver le code source des programmes ... " que nous citons dans notre missive au client) Ah, et nous demandons aux clients / consultants de détruire les résultats de ce reverse engineering et de confirmer qu'ils l’ont fait ».

Pourquoi en parle-t-elle ? Elle estime ne pas vouloir perdre de temps en disputes tournant autour de la question de la violation de licence, estimant que son équipe à mieux à faire, notamment travailler à l’amélioration du développement du code. « C’est le meilleur moment pour rappeler que je ne piétine personne simplement à cause de l’accord de licence. Comprenez plutôt “ je n’ai pas besoin de vous pour analyser le code puisque nous le faisons déjà, c’est notre devoir de le faire, et nous sommes assez bons dans ce que nous faisons. Nous pouvons, contrairement à une partie tierce ou un outil, analyser le code pour déterminer ce qui se passe. De plus, ces outils ont un taux de faux positif avoisinant les 100% alors, de grâce, ne perdez pas notre temps à rapporter la présence de petits hommes verts dans notre code “. Je ne suis pas en train de fuir nos responsabilités envers les clients, simplement, j’essaye d’éviter un exercice douloureux, gênant et qui entraîne une perte de temps mutuelle ».

Par la suite elle a répondu à une série de questions réponses pour affirmer encore plus son opinion. L’une d’elle par exemple évoque les Bug Bounty en disant « pourquoi ne pas créer un Bug Bounty ? Payer des tiers pour trouver des failles ». Ce à quoi elle répond « < plus gros soupir> les Bug Bounties sont le nouveau boy band (gentiment allitératif non ?). De nombreuses entreprises crient, s’évanouissent, et jette des sous-vêtements aux chercheurs en sécurité ***** pour qu’ils trouvent des problèmes dans leurs codes et insiste sur le fait que Ceci Est Le Chemin, Emprunte Le : si vous ne proposez pas de Bug Bounty, votre code n’est pas sécurisé. Pourtant, nous avons trouvé 87% des vulnérabilités de sécurité derechef, les chercheurs en sécurité n’ont trouvé que 3% et le reste par les clients (…) je ne dénigre pas les Bug Bounty, je remarque juste qu’en se référant strictement à l’économie, devrais je dépenser beaucoup d’argent pour 3% du problème quand je peux dépenser cet argent dans une meilleure prévention comme employer un autre collaborateur ».

Oracle a très vite retiré ce billet et a tenu à prendre ses distances. « Nous avons retiré ce billet parce qu’il ne reflète pas nos croyances ou notre relation avec nos clients. La sécurité de nos produits et services a toujours été important pour Oracle. Oracle a un programme robuste d’assurance sécurité produit et travaille conjointement avec des chercheurs en externe et des clients pour s’assurer que les applications conçues sur des technologies Oracle soient sécurisées », a expliqué Edward Screven, vice-président exécutif d'Oracle et architecte en chef de l'entreprise, dans un communiqué de presse.

Source : Scribd

[23JFK]

Les chercheurs d'Oracle travaillent avec le code source, même si cette méthode est très efficace, elle ne peut fournir exactement les mêmes résultats qu'un cracker malveillant qui chasse la faille 0-day sans pouvoir se référer à un fichier source ; et la fraction de pourcentage représentant une faille 0-day susceptible d'être trouvée par un fanatique le l’hexadécimal à des chances respectables d'être plus dangereuse que tous les bugs/failles décelés par le fabriquant. Par ailleurs, compte tenu de son passif, cette dame devrait faire profil bas, elle ne pourra jamais empêcher ceux qui savent et veulent savoir de pratiquer du reverse engineering, la seule chose qui soit vraiment condamnable est d'en user à dessein de voler du code protégé pour le réutiliser sans autorisation.

[BufferBob]

cette blague "vous n'avez pas le droit de reverser nos binaires" suivi d'un mouvement equissé de la main "les dataris feront l'affaire"

donc concrètement ça ne va pas empêcher les hackers de chercher des vulns dans les produits Oracle, la seule différence c'est que les vulns circuleront sous le manteau (0days) et/ou seront publiées anonymement au lieu de rentrer dans le processus classique qui fait qu'en général l'entreprise concernée sent qu'on lui met la pression et se dépêche de sortir un patch

[earhater]

Aha si j'ai bien compris ce qu'elle veut dire c'est que si je (bon j'ai aucune chances hein) trouve une faille 0-day dans un logiciel oracle avec la solution de reverse engineering c'est que je risque plus un procès pour violation d'un contrat d'utilisation que de voir un correctif sortir ?

[NaSa]

depuis leur rachat de Sun. Oracle cherche par tous les moyens de rentabiliser leur investissements. Cette réaction ne m'étonne pas. Et je ne serai pas surpris qu'un jour, développeurs ou simple utilisateurs doivent s'acquitter d'une licence.

Pour en revenir au fond du problème, une entreprise qui un jour se retrouve confronté à une faille en recherera les causes et finira certainement par faire du reverse.
Toutes les assurances du monde ne permettent pas de réparer une perte de confiance dans un produit ou une marque.

[dahtah]

C'est exactement ce genre de déclaration qui pousse les chercheurs a ne pas travailler avec le vendeur, mais plutôt a divulguer les failles directement sur internet.
Ça m’étonnerais pas qu'on voit plus de 0-day qu'avant sur les produits Oracle.

[jopopmk]

Il lui est arrivé quoi à la dame pour faire une sortie pareille ?
Chef de sécu, elle a peur qu'un client trouve une faille et montre son incompétence ?

Le coup du "vérifiez d'abord les failles de vos produits" est particulièrement puéril et malvenu (chercher les failles dans son produit c'est avant tout chercher les failles dans les briques de base, les fondations que sont les solutions tiers utilisées [remember Heartbleed]).

Bon perso je taf avec OCI et je me vois mal gratter leur code pour chercher des failles, je leur laisse ce plaisir

@NaSa : à quel produit tu penses ? Faire payer Java serait se tirer une balle dans le pied, et OpenOffice et MySQL ont déjà leurs remplaçants en libre.

[RyzenOC]

En gros on découvre une faille, on dis rien....

Étrange, si quelqu'un trouvait une faille dans un de mes programmes, je serais content qu'il me la signale. Si j'étais une entreprise multinational qui fait des milliards de bénef, je rémunérerais même ceux qui me trouve des failles.

Tant que le hacker n'utilise pas le reverse engineering pour s'approprier le code ou vendre des failles a des organisations peut scrupuleuse.
Un peu comme si je découvrait une faille dans les cartes bancaire, et qu'on me mette en prison pour avoir alerter le gouvernement.

Un client n’est pas habilité à analyser le code pour vérifier s’il y aurait un contrôle qui empêche l’attaque de l’outil de scan

Et pourquoi sa ?, Oracle à les meilleurs dev du monde, les autres c'est des bricoleurs du dimanche ?

Comme Client oracle a juste Google, MS ou Apple par exemple, des entreprises réputés pour avoir des manches a balais dans leurs équipes

Je sais pas pour vous, mais je déteste de plus en plus Oracle moi, surtout depuis le dernier procès contre Google, c'est une entreprise que je me passerais bien.

[BenNuts]

Un peu comme si je découvrait une faille dans les cartes bancaire, et qu'on me mette en prison pour avoir alerter le gouvernement.

ça n'a pas réussi à Serge Humpich.

[MichaelREMY]

je me doutais qu'il y aurait des réactions trolliennes voire machistes en lisant cette news.
Il n'y a plus beaucoup de développeurs qui respectent le travail des autres, pensant que tout est gratuit ou opensource ou à coffre-ouvert ou copiable donc sans valeur.

il y a une nuance entre "trouver une faille" et chercher une faille". Si vous ne comprenez pas cette nuance. Il n'est pas utile de répondre à ce sujet avec un point de vue professionnel éditeur ou programmeur.

J'avais déjà exprimé le même avis sur ce forum, et on m'avait lancer des pierres.

Je le répète, il i y a une nuance entre chercher et trouver.

[RyzenOC]

ça n'a pas réussi à Serge Humpich.

Je pensait justement lui quand j'ai écrit mon post, merci d'avoir trouvé

[NaSa]

@jopopmk Je ne cible aucun produit en particulier. J'imagine juste le déroulement pour une entreprise si une de leur application se retrouver avec une faille...

[BugFactory]

Ah, no. The point of our prohibition against reverse engineering is intellectual property protection, not “how can we cleverly preventcustomers from finding security vulnerabilities – bwahahahaha – so we never have to fix them – bwahahahaha.”

Avant d'accuser Oracle de négligence, il faut se rappeler qu'elle a des secrets industriels à protéger, il est donc parfaitement raisonnable qu'Oracle refuse l'ingénierie à rebours sur ses produits. Sinon n'importe qui pourrait, sous prétexte de recherche en sécurité, démonter le SGBD et s'en inspirer pour améliorer un produit concurrent.

Cependant cette approche a plusieurs problèmes :
- Ceux qui utilise l'ingénierie à rebours à fin d'espionnage industriel ne vont pas s'en vanter en faisant des rapports de bogues. Bien au contraire, plus il y a de failles dans Oracle, mieux c'est pour eux.
- Les clients qui font des rapports de bogues utilisent Oracle et sont peu susceptibles de développer eux-mêmes un produit concurrent.
- Les pirates qui recherchent des failles dans des buts illégaux ne vont pas se gêner pour décompiler le logiciel, quoique dise la license.
En d'autres termes, je ne suis pas convaincu par la sécurité par offuscation.

Je trouve aussi que le ton de ce post de blog est très irrespectueux. C'est à ses clients qu'elle s'adresse.

[derderder]

"Vous n'avez pas le droit d'appliquer le reverse-engineering dans notre code"
Si, on peut totalement, en tous cas en France :

Code de la propriété intellectuelle - Article L122-6-1

III. La personne ayant le droit d'utiliser le logiciel peut sans l'autorisation de l'auteur observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en droit d'effectuer.

[Uther]

je me doutais qu'il y aurait des réactions trolliennes voire machistes en lisant cette news.
Il n'y a plus beaucoup de développeurs qui respectent le travail des autres, pensant que tout est gratuit ou opensource ou à coffre-ouvert ou copiable donc sans valeur.

Et on pouvait tout autant se douter qu'il y aurait des gens qui réagiraient instinctivement au mot reverse-engineering sans prendre en compte le contexte.

Il ne s'agit pas en l’occurrence d'un problème de vol de propriété intellectuelle, mais de sécurité. Bien évidement que le reverse-engineering à des fins de copie est condamnable, mais de toute façon les personnes qui font ça ne vont pas contacter Oracle pour s'en vanter.

Là il s'agit de reverse-engineering à des fins d'analyse de sécurité. Si Oracle se met à menacer ceux qui remontent de vrais problèmes de sécurité au motif qu'ils y sont arrivés par reverse-engineering, il y a de quoi questionner leur politique de sécurité. Les pirates mal intentionnés se fichent pas mal du discours de Mary Ann Davidson, ils feront du reverse-engineering de toute façon et Oracle n'en saura jamais rien.

[jopopmk]

@jopopmk Je ne cible aucun produit en particulier. J'imagine juste le déroulement pour une entreprise si une de leur application se retrouver avec une faille...

Si un produit Oracle (hors Sun) a une faille ils se dépêcheront de la fixer, même sur leurs produits gratuits (c'est leur image qui est en jeu).

Perso j'ai pas de "dent" contre Oracle, leur DB pro est stable, performante et constante sur la montée en charge.
Par contre le discours de cette dame me parait un peu bizarre, sur la défensive.
On dit pas à ses clients "occupe toi de ton c.ul" et "tes produits sont plein de trous" sans background.

@derderder : est-on sûr que c'est la loi française qui s'applique ? J'avoue ne pas bien connaitre le sujet.

[derderder]

@derderder : est-on sûr que c'est la loi française qui s'applique ? J'avoue ne pas bien connaitre le sujet.

La loi qui s'applique est celle du pays de résidence, et si les américains n'ont pas le droit de décompiler, les français et surement d'autre pays le peuvent, hors cette dame s'adresse à tous ses clients, pas seulement les américains.

[BufferBob]

Il ne s'agit pas en l’occurrence d'un problème de vol de propriété intellectuelle mais de sécurité.

le point est là; ce qu'elle dit dans le fond c'est qu'y en a marre que ses clients fassent du RE sur les produits Oracle et remontent des failles comme si de rien n'était

là où elle fait une faute énorme de communication c'est que dans la foulée elle répond en gros occupez vous de vos fesses avant de chercher des vulns dans les miennes, ce qui laisse penser qu'elle ne veut pas qu'on trouve des failles dans ses produits, mais en fait ce qui l'agace c'est bien que les clients Oracle rompent le contrat qui stipule de ne pas faire de rétro-ingénierie, parcequ'il y a des enjeux comme le fait remarquer BugFactory et que c'est pas anodin, faire comme si de rien n'était quand les clients démontent un binaire juste parcequ'ils ont trouvé une faille ça reviendrait pour Oracle à se laisser marcher sur les conditions d'utilisation

c'est un peu le même problème que pour Batman, comme il rend des services et qu'il est du coté des gentils on le laisse faire, mais concrètement il fait justice lui-même et c'est pas son job, et ça le met hors-la-loi, ce qu'elle dit elle finalement c'est que la police est plus efficace à 87% contre seulement 3% pour Batman et qu'il faut qu'il arrête

c'est à mon avis pour l'essentiel une belle faute de comm.

[kolodz]

"Vous n'avez pas le droit d'appliquer le reverse-engineering dans notre code"
Si, on peut totalement, en tous cas en France :

Code de la propriété intellectuelle - Article L122-6-1

III. La personne ayant le droit d'utiliser le logiciel peut sans l'autorisation de l'auteur observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en droit d'effectuer.

La fin de la phrase est explicite, non ? "qu'elle est en droit d'effectuer"
En gros, tu as le droit de tester/utiliser et d'en faire des observations. Le "Reverse Engineering" étant explicitement interdit dans les CGU, tu n'es pas endroit de le faire. La seule chose que dit cette article, c'est qu'à partir du moment où tu respect ce que tu as le droit ou non de faire. Tu n'es pas obligé d'en demander l'autorisation à l'auteur. En gros, tu peux faire un benchmark... Je ne conseil à personne de faire du "Reverse Engineering" publiquement en se basant sur cette article.

Pour ce qui est de la politique d'Oracle et de son support technique. (Qui a tendance à être identique à beaucoup d'autre) L'objectif principal est de fermé les tickets au plus vite. Que cela soit avec ou sans "Reverse Engineering" impliqué dans la demande. Cela leur facilite juste la tâche.
Note : Pour moi la gestion de la sécurité se fait principalement via le support technique.

Cordialement,
Patrick Kolodziejczyk.

[MichaelREMY]

III. La personne ayant le droit d'utiliser le logiciel peut sans l'autorisation de l'auteur observer, étudier ou tester le fonctionnement ou la sécurité de ce logiciel afin de déterminer les idées et principes qui sont à la base de n'importe quel élément du logiciel lorsqu'elle effectue toute opération de chargement, d'affichage, d'exécution, de transmission ou de stockage du logiciel qu'elle est en droit d'effectuer.

comme je l'ai dit plus haut, la compréhension du verbe français est primordiale.

dans ce texte, on dit qu'on a le droit d'étudier/observer/tester : le fonctionnement, la sécurité DANS LA CONDITION que cela se passe dans l'opération d'affichage, d'exécution, de transmission.

Décompiler un code source et l'étudier ne rentre pas dans ce cadre, donc c'est illégal.

Chercher une faille est différent de trouver une faille.

Je rappelle que si une personne analyse par exemple l l'interface web de sa banque pour rechercher des failles, c'est illégal.
Tout comme il est illégal de tenter tous les mots du dictionnaire pour trouver un mot de passe par défaut dans un logiciel inoffensif.