Après le 138 patchs délivrés en 2007, l’éditeur américain Oracle prévoit dans le cadre de son cycle de publication trimestriel, 27 patchs pour commencer l’année 2008. Sont concernés plusieurs de ses produits dont évidemment sa base de données. Rendez-vous anxiogène s’il en est pour les administrateurs, la CPU ( Critical Patch Update ) donne le coup d’envoi d’une série de tests avant application des patchs pour éviter d’être pris de vitesse par des pirates toujours très réactifs, et disposer via leur arsenal de reverse engineering à exploiter les failles ainsi dévoilées.

Pourtant, surprise, un sondage réalisé aux Etats-Unis auprès de plus de 300 administrateurs Oracle révèle que deux tiers d’entre-eux n’ont tout simplement jamais appliqué les correctifs fournis par  » The Unbreakable « .

Au cours de ses exposés devant des groupes d’utilisateurs Oracle débutés en août à travers les USA, Slavik Markovich, directeur technique de la société Sentrigo spécialisée dans le domaine de la sécurité Oracle, s’est aperçu avec stupeur que sur l’ensemble des 305 participants interrogés, seulement 10% avaient appliqué les patchs les plus récents et 67,5% n’en avaient jamais appliqué un seul depuis qu’Oracle s’adonne à ses CPU.  » Cela laisse de nombreuses bases de données vulnérables vis-à-vis de ce qui est connu de façon publique « , a-t-il déclaré (propos rapportés par InfoWorld).

Avec de telles statistiques, le plus ironique est sans doute que l’effort louable d’information d’Oracle lors de ses CPU, profite essentiellement aux pirates et non aux administrateurs. Soit ces derniers ne sont pas suffisamment sensibilisés sur le sujet, ou alors l’application des patchs est un processus à ce point délicat et compliqué à mettre en oeuvre qu’ils préfèrent sacrifier la composante sécurité plutôt que de risquer d’endommager eux-mêmes une base de données vitale pour l’entreprise. Des pistes à étudier pour Oracle.