12/01/2001 • 18h42
La base de données était backdoorée
Pendant six ans, une faille de sécurité permettait de s’engouffrer dans les fichiers et les serveurs utilisant le logiciel Interbase. Elle vient d’être découverte.
Il se trouve toujours des technico-commerciaux, des journalistes ou consultants "spécialisés" pour affirmer que les logiciels propriétaires sont plus sécurisés que les logiciels libres. Les partisans du logiciel libre et les experts en sécurité informatique démentent, eux, cette hypothèse, car, en l’absence de libre consultation du code source, il est strictement impossible de garantir l’intégrité d’un programme. Dernière illustration en date avec le logiciel de bases de données Interbase, dont la société mère, Inprise/Borland, a publié le code source l’an dernier. Un examen de celui-ci vient de révéler l’existence d’une porte dérobée : en tapant "politically" comme login, et "correct" comme mot de passe, il était possible de faire ce qu’on voulait des fichiers, voire des serveurs qui les accueillaient. Cette faille de sécurité existe depuis 1994, et fait furieusement penser aux efforts déployés à l’époque par les services de renseignements américains, qui cherchaient à placer des "backdoors" dans les produits des plus grands éditeurs de logiciels. Si des patchs (mises à jour) sont disponibles sur le site d’Interbase, on ne saurait que trop conseiller d’aller faire un tour du côté de la FAQ "huile de serpent" pour mieux appréhender ces logiciels dits "sécurisés".
Huile de serpent (logiciels de chiffrement à éviter):
http://www.bigfoot.com/~arboi/crypt...
The InterBase Security Exploits:
http://www.interbase2000.org/
|