Oracle confirme une faille de sécurité dans le cloud après un premier démenti : les allégations de pirates informatiques, les fuites de données et les alertes silencieuses suscitent l'inquiétude.

Dans un contexte qui soulève de sérieuses questions de transparence et de sécurité du cloud, Oracle aurait subi une importante violation de données impliquant son infrastructure cloud, malgré des déclarations antérieures niant tout incident de ce type. Le géant technologique a depuis discrètement alerté les clients concernés, tout en continuant à minimiser l'ampleur et la gravité de l'attaque.

La faille a été révélée lorsqu'un pirate informatique utilisant le pseudonyme rose87168 a divulgué des données prétendument sensibles d'Oracle Cloud, affectant plus de 140 000 locataires. Ces données comprendraient des identifiants chiffrés, des noms d'utilisateur et d'autres informations clients critiques. Le pirate a initialement exigé une rançon de 20 millions de dollars à Oracle, mais, n'ayant reçu aucun paiement, il a commencé à proposer les données volées à la vente ou à l'échange en échange d'exploits zero-day.

Malgré ces allégations, la réponse initiale d'Oracle a été catégorique : « Il n'y a eu aucune violation d'Oracle Cloud. Les identifiants publiés ne concernent pas Oracle Cloud. Aucun client Oracle Cloud n'a subi de violation ni perdu de données. » Cette affirmation est toutefois aujourd'hui contestée par des preuves de plus en plus nombreuses et des confirmations indépendantes émanant d'experts en sécurité et de clients.

Les preuves des pirates informatiques contredisent les dénégations d'Oracle

Selon SecurityWeek , le pirate a fourni de multiples preuves, dont un échantillon de 10 000 dossiers clients, une vidéo semblant montrer une réunion interne d'Oracle et un fichier prouvant l'accès aux systèmes cloud d'Oracle. Certaines informations d'identification divulguées dateraient de 2024, ce qui contredit les affirmations d'Oracle, rapportées par Bloomberg , selon lesquelles l'environnement affecté n'a pas été utilisé depuis plus de huit ans.

Le chercheur en sécurité Kevin Beaumont soupçonne Oracle d'utiliser une terminologie vague comme « Gen 1 » pour masquer la vérité. Il a souligné qu'Oracle Classic, qui correspond probablement à cette appellation, fait toujours partie de l'infrastructure cloud de l'entreprise. Cette interprétation sémantique, explique-t-il, permet à Oracle de nier techniquement une violation d'« Oracle Cloud », même si les données proviennent d'anciens systèmes cloud.

Beaumont a également révélé qu'Oracle n'avait pas envoyé de notifications écrites aux clients ; au lieu de cela, les alertes auraient été uniquement verbales, ce qui soulève encore plus d'inquiétudes quant à la transparence de l'entreprise.

Logiciels malveillants, exploits Java et accès à long terme

CyberAngel a cité une source anonyme affirmant que la faille provenait d'une vulnérabilité Java de 2020 qui permettait aux attaquants d'installer un logiciel malveillant et un shell web sur les systèmes Oracle. Le logiciel malveillant aurait ciblé la base de données de gestion des identités d'Oracle, et l'accès aurait commencé dès janvier 2025. Oracle aurait été informé du problème fin février, à peu près au moment de la demande de rançon.

Selon cette source, seule l'infrastructure cloud de « Gen 1 » a été impactée, notamment les serveurs de l'ancien environnement Oracle Classic, tandis que les serveurs plus récents de « Gen 2 » sont restés intacts. Cependant, les données compromises, bien que datant d'au moins 16 mois, semblent provenir d'environnements de production et de comptes clients réels.

La violation d'Oracle Health aggrave les conséquences

Alors qu'Oracle continue de publier des déclarations publiques limitées, des rapports font également état d'une autre faille de sécurité impliquant les systèmes Oracle Health. L'exposition simultanée de données clients et patients provenant de différents systèmes Oracle a suscité de vives inquiétudes chez les professionnels de la cybersécurité et les régulateurs.

La gestion de la faille de sécurité cloud par Oracle – depuis ses dénégations initiales jusqu'à sa communication limitée avec ses clients – a suscité des critiques de la part de l'ensemble du secteur de la sécurité. Alors que les enquêteurs du FBI et de CrowdStrike enquêtent sur l'affaire, nombreux sont ceux qui réclament une plus grande transparence de la part d'Oracle afin d'aider les organisations concernées à évaluer les risques et à prendre les mesures nécessaires pour se protéger.