« Je n'ai pas besoin de vous pour analyser le code », claironne Mary Ann Davidson, CSO d'Oracle. Et Oracle de menacer les personnes qui trouvent des bugs dans le code de ses produits de les poursuivre pour violation des accords de licences !
Décidément, Oracle sait se faire 'apprécier' par ses clients. Comme si les histoires d'audits sur les licences et autres pratiques tendues de l'éditeur ne suffisaient pas, voilà qu'Oracle s'attaque aux personnes qui décortiquent son code à la recherche de bugs. Toujours aussi diplomate, et avec le ton condescendant qu'on lui connaît, Oracle n'a pas hésité à se faire menaçant…
Des failles de sécurité...
Rappelons tout d'abord les faits : la majorité des produits logiciels qui sortent sur le marché sont l'objet de failles de sécurité. Une grande partie est détectée par l'éditeur lui même, le reste par ses clients, et par des chercheurs en sécurité. Interviennent également les hackers mafieux, qui vont exploiter les failles pour tenter de pénétrer les systèmes. Mais en général, ces derniers n'exploitent que des failles connues.
Plus un éditeur est connu, et plus une faille est médiatisée, la menace exégérée, et évidemment exploitée par des personnes à l'esprit malveillant. Microsoft en sait quelque chose… Si ce phénomène est connu, quelle est la réalité concernant la découverte des failles ? Et bien justement, c'est Mary Ann Davidson, CSO d'Oracle, qui sur son blog apporte une réponse à cette question : « Nous trouvons 87% des failles de sécurité nous-mêmes, les chercheurs en sécurité en trouvent environ 3% et le reste sont trouvées par les clients ». Soit très officiellement 10 % des failles de sécurité des logiciels Oracle découvertes in situ par les clients de l'éditeur. Nous reviendrons sur ce chiffre.
Oracle n'a pas besoin de vous !
Voici donc que dans son article de blog cette même Mary Ann Davidson lance la polémique en affirmant : « Je n'ai pas besoin de vous pour analyser le code depuis que nous savons le faire, il est de notre devoir de le faire, nous sommes assez bon pour le faire. Nous pouvons, contrairement aux tiers ou aux outils, analyser le code pour déterminer ce qui se passe, et de toute façon la plupart de ces outils sont proches des 100% de faux positifs. Donc, s'il vous plaît, ne perdez pas notre temps avec des déclarations sur des petits hommes verts dans notre code ».
Depuis sa publication, ce poste polémique a été retiré du blog d'Oracle. Mais il continue de faire des vagues. Edward Screven, vice-président exécutif et Chief Corporate Architect d'Oracle, a indiqué dans un mail à la presse américaine, « Nous avons enlevé le poste car il ne reflète pas nos croyances ou notre relation avec nos clients ». Rassurant ? La question mérite d'être pôsée, car dans le même temps il n'a pas hésité à jeter de l'huile sur le feu en rappelant que les accords de licences n'autorisent pas les clients d'Oracle à fouiller dans le code.
Encore une polémique dont Oracle a le secret
Dans son discours, Mary Ann Davidson pointe le comportement 'inacceptable' des clients d'Oracle qui découvrent des bugs dans ses produits. Elle affirme également que 100 % des bugs qui sont remontés à l'éditeur sont des faux positifs. Ou tout du moins sont des bugs qui sont déjà connus de ses équipes, et qu'elles n'ont pas besoin des clients pour le savoir et lui faire perdre son temps.
Toute l'ambiguïté de son discours, et de l'intervention d'Edward Screven, c'est qu'Oracle reconnaît que ses clients ont une part évidente à jouer dans la découverte de bugs - soit 10 % de l'ensemble des bugs, ce qui est un chiffe loin d'être marginal -, mais l'éditeur rejete dans le même temps les remontées de bugs qui viennent de ses clients ! Elle reconnaît également explicitement qu'une partie des bugs sont déjà connus par Oracle, et pour certains depuis longtemps. On peut donc légitimement se demander pourquoi l'éditeur ne les a pas corrigés depuis, mais il est vrai que les clients d'Oracle manquent de visibilité sur la stratégie de l'éditeur…
Où est l'écoute du client ?
Mais surtout, en blâmant les clients d'Oracle pour violation de licences, la CSO a ravivé des rancoeurs et des polémiques, ce dont l'éditeur se serait certainement bien passé. Surtout que son discours a rappelé aux observateurs qu'Oracle estime n'avoir pas besoin d'une assurance responsabilité sur ses produits. Une telle adhésion aurait pourtant pour effet, par ses règles d'admission et de contrôle, d'inciter l'éditeur à écrire un code plus sûr pour ses logiciels.
Ce que nous retiendrons également de cette affaire, c'est qu'en menaçant ses clients pour violation de licences, Oracle oblitère totalement les signaux que les clients lancent à leur éditeur. Car à chaque fois qu'ils découvrent un bug, même considéré comme un faux positif, le message est très clair : Oracle doit faire mieux. Mais au lieu de prendre en compte le point de vue de ses clients, Oracle préfère les menacer... L'éditeur, dans sa prétention historique et ses pratiques parfois perçues comme agressives, est certainement au dessus de cela !