Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

L'argument de la sécurité #44

Open
jferard opened this issue Oct 25, 2016 · 1 comment
Open

L'argument de la sécurité #44

jferard opened this issue Oct 25, 2016 · 1 comment

Comments

@jferard
Copy link
Collaborator

jferard commented Oct 25, 2016

Je cite l'article du Monde :

Mais la communauté des développeurs mobilisés autour du document rendu public demande « le code source complet de l’application » afin de comprendre les interactions possibles du reste du code avec la partie rendue publique.

Impossible, répond une fois de plus le ministère, en invoquant « des raisons de sécurité ». La plateforme faisant chaque année l’objet d’attaques de pirates informatiques (restées inoffensives pour l’instant), « aucun risque » ne sera pris en dévoilant le code source, et donc de possibles failles de sécurité dans lesquelles pourraient s’engouffrer des pirates informatiques.

Est-ce que l'argument de la sécurité vous paraît crédible (en pensant également à la prochaine demande) :

  • pour ne pas communiquer la structure de la base ?
  • pour ne pas communiquer les données "fixes" (académies, formations, etc.) ?
  • pour ne pas communiquer la totalité du batch PL/SQL ?
  • pour ne pas communiquer le code la totalité de la partie métier de l'application ?

(Plusieurs choix possibles, ne pas hésiter à se référer aux classiques type "injection SQL" ou même "buffer overflow" !)
@ClementNerma
Copy link

Pour moi, oui cela est crédible. Il est possible qu'il y ait également une volonté de cacher ce code source, mais ce qui est sûr c'est que la publication des sources pourrait effectivement permettre à des pirates de trouver des failles de sécurité.

  • Pour ce qui est de la structure de la base, ça ne change pas grand-chose que ça soit public ou non puisque lorsqu'un pirate a un contrôle de la BDD il peut lister les différentes tables. D'autre part les types de colonnes utilisées, leur taille, leur agencement etc. peut (peut-être) permettre de trouver des failles buffer overflow par exemple. Je ne suis pas spécialiste du SQL alors je ne peux rien affirmer d'autre mais je pense que ça n'a pas vraiment d'impact. Idem pour les points 2 et 4.
  • Pour ce qui est du script batch PL/SQL, là il est certain qu'il ne doit pas être publié. Il s'agit du "coeur" du système, qui gère sans doute une partie de la base de données. C'est là que l'on va tout particulièrement pouvoir trouver des failles de sécurité.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@ClementNerma @jferard