La conclusion apportée par David Litchfield, spécialiste en sécurité de NGSSoftware, est peu rassurante lorsque son étude portant sur la sécurité des serveurs hébergeant des bases de données indique qu'un grand nombre d'entre eux reste encore facilement accessible à quiconque sur Internet.
Pour les besoins de son étude, Litchfield a tout simplement généré et scanné près d'un million d'adresses IP et tenté un accès sur les ports configurés par défaut des bases de données Oracle et de Microsoft SQL Server. Il a ainsi trouvé 157 serveurs SQL Server et 53 serveurs Oracle accessibles. En s'appuyant sur une estimation du nombre de machines totales reliées à la toile, il évalue à près de 368 000 et 124 000 serveurs hébergeant respectivement des bases de données SQL Server et Oracle directement accessibles de l'extérieur.
De plus en plus de bases de données vulnérables
Deux ans plus, tôt, David Litchfield avait déjà conduit une étude de ce même type dont son estimation de bases de données Microsoft et Oracle s'élevaient à un total de 350 000 serveurs exposés. On peut s'étonner de voir que la version 2007 de cette étude recense encore plus de serveurs et Litchfield est assez surpris que de nombreux serveurs ne soient pas configurés derrière des pare-feu adéquats.
En 2005, la même étude donnait une estimation de l'ordre de 140 000 bases de données Oracle et 210 000 SQL Servers exposées. Pour la baisse du nombre de serveurs de bases de données Oracle pour cette année, David Litchfield n'a pas de réelles explications. Il avance seulement que c'est certainement la facilité d'installation de SQL Server qui a pu jouer en faveur de Microsoft.
Peu de correctifs appliqués
Un autre point, encore plus préoccupant selon Litchfield, est qu'il reste toujours beaucoup de bases de données dont l'application des correctifs de sécurité laisse à désirer. Il précise par exemple, que des installations SQL Server sont encore vulnérables au ver Slammer dont l'apparition remonte tout de même à 2003.
Finalement, il ajoute qu'en grande majorité, que ce soit pour les bases de données SQL Server ou Oracle, la plupart des installations ont été très peu mises à jour vers des éditions plus récentes.
Pour les besoins de son étude, Litchfield a tout simplement généré et scanné près d'un million d'adresses IP et tenté un accès sur les ports configurés par défaut des bases de données Oracle et de Microsoft SQL Server. Il a ainsi trouvé 157 serveurs SQL Server et 53 serveurs Oracle accessibles. En s'appuyant sur une estimation du nombre de machines totales reliées à la toile, il évalue à près de 368 000 et 124 000 serveurs hébergeant respectivement des bases de données SQL Server et Oracle directement accessibles de l'extérieur.
De plus en plus de bases de données vulnérables
Deux ans plus, tôt, David Litchfield avait déjà conduit une étude de ce même type dont son estimation de bases de données Microsoft et Oracle s'élevaient à un total de 350 000 serveurs exposés. On peut s'étonner de voir que la version 2007 de cette étude recense encore plus de serveurs et Litchfield est assez surpris que de nombreux serveurs ne soient pas configurés derrière des pare-feu adéquats.
En 2005, la même étude donnait une estimation de l'ordre de 140 000 bases de données Oracle et 210 000 SQL Servers exposées. Pour la baisse du nombre de serveurs de bases de données Oracle pour cette année, David Litchfield n'a pas de réelles explications. Il avance seulement que c'est certainement la facilité d'installation de SQL Server qui a pu jouer en faveur de Microsoft.
Peu de correctifs appliqués
Un autre point, encore plus préoccupant selon Litchfield, est qu'il reste toujours beaucoup de bases de données dont l'application des correctifs de sécurité laisse à désirer. Il précise par exemple, que des installations SQL Server sont encore vulnérables au ver Slammer dont l'apparition remonte tout de même à 2003.
Finalement, il ajoute qu'en grande majorité, que ce soit pour les bases de données SQL Server ou Oracle, la plupart des installations ont été très peu mises à jour vers des éditions plus récentes.
