Discussion :

[Stéphane le calme]

Oracle aurait subi deux violations distinctes de données exposant les informations personnelles de milliers de clients,
via une faille exploitée en raison d'un « manque de pratiques de gestion des correctifs et/ou d'un codage non sécurisé »

Récemment, Oracle, le géant américain des logiciels et des technologies de base de données, a été confronté à deux violations de données majeures, exposant les informations personnelles identifiables (PII) de milliers de clients.

Le dernier rapport sur les violations de données, publié vendredi par Bleeping Computer, indique qu'Oracle Health (une entreprise de logiciels de soins de santé en tant que service que la société a acquise en 2022) a appris en février qu'un cybercriminel avait accédé à l'un de ses serveurs et s'était emparé de données de patients provenant d'hôpitaux américains. Selon Bleeping Computer, les clients d'Oracle Health ont reçu des notifications de violation imprimées sur du papier ordinaire plutôt que sur du papier à en-tête officiel d'Oracle et signées par Seema Verma, vice-présidente exécutive et directrice générale d'Oracle Health. Oracle Health, anciennement connu sous le nom de Cerner, est une société de logiciels en tant que service (SaaS) dans le domaine de la santé qui propose des dossiers médicaux électroniques (DME) et des systèmes d'opérations commerciales aux hôpitaux et aux organismes de santé. Après avoir été rachetée par Oracle en 2022, Cerner a été fusionnée avec Oracle Health, et ses systèmes ont migré vers Oracle Cloud.

Dans un avis envoyé aux clients concernés, Oracle Health a déclaré avoir pris connaissance d'une violation des serveurs de migration des données de Cerner le 20 février 2025.

« Nous vous écrivons pour vous informer que, le 20 février 2025 ou autour de cette date, nous avons eu connaissance d'un événement de cybersécurité impliquant un accès non autorisé à une partie de vos données Cerner qui se trouvaient sur un ancien serveur qui n'avait pas encore été migré vers Oracle Cloud », peut-on lire dans la notification envoyée aux clients concernés d'Oracle Health.

Oracle indique que le cybercriminel a utilisé les identifiants compromis du client pour pénétrer dans les serveurs quelque temps après le 22 janvier 2025, et a copié les données sur un serveur distant. Ces données volées « pourraient » avoir inclus des informations de patients provenant de dossiers médicaux électroniques.

Cependant, plusieurs sources ont indiqué qu'il a été confirmé que des données de patients ont été volées au cours de l'attaque.

L'autre rapport de violation de données a eu lieu il y a un peu plus d'une semaine, lorsqu'une personne anonyme utilisant le pseudonyme rose87168 a publié un échantillon de ce qu'elle a dit être 6 millions d'enregistrements de données d'authentification appartenant à des clients d'Oracle Cloud. Rose87168 a expliqué à Bleeping Computer qu'il avait acquis ces données un peu plus d'un mois auparavant après avoir exploité une vulnérabilité donnant accès à un serveur Oracle Cloud.

Les chercheurs d'entreprises de sécurité externes qui ont examiné les données fournies par rose87168 ont déclaré qu'elles semblaient authentiques. Les chercheurs de Cloudsek ont déclaré que l'entreprise « évalue cette menace avec un niveau de confiance moyen et la considère comme étant d'une gravité élevée ». Selon eux, plus de 140 000 locataires, c'est-à-dire des clients utilisant les services Oracle Cloud, ont été touchés.

Spider Labs de Trustwave, quant à lui, a déclaré que l'échantillon d'informations d'identification LDAP fourni par rose87168 « révèle une quantité substantielle de données IAM sensibles associées à un utilisateur au sein d'un environnement multi-tenant Oracle Cloud. Les données comprennent des informations personnelles identifiables (PII) et des attributions de rôles administratifs, indiquant un accès potentiel de grande valeur au sein du système de l'entreprise ».

Une faille exploitée en raison d'un « manque de pratiques de gestion des correctifs et/ou d'un codage non sécurisé »

Le cybercriminel affirme avoir compromis le sous-domaine login.us2.oraclecloud.com, qui aurait été supprimé depuis le piratage.

Capture d'écran du fichier texte téléchargé par l'acteur de la menace sur le point de terminaison login.us2.oraclecloud.com

Le sous-domaine a été capturé sur la Wayback Machine le 17 février 2025, ce qui suggère qu'il hébergeait Oracle fusion middleware 11G .

Capture d'écran de login.us2.oraclecloud.com sur wayback machine

Le serveur oracle fusion middleware, qui selon la fofa a été mis à jour pour la dernière fois vers le samedi 27 septembre 2014. Le middleware Oracle fusion avait une vulnérabilité critique CVE-2021-35587 qui affecte Oracle Access Manager (OpenSSO Agent). Cette vulnérabilité a été ajoutée à la liste CISA KEV (Known Exploited Vulnerabilities) le 2022 décembre.

CVE-2021-35587 : Vulnérabilité dans Oracle Access Manager (OpenSSO Agent)

Une vulnérabilité existe dans le composant Oracle Access Manager d'Oracle Fusion Middleware (OpenSSO Agent). Les versions concernées sont :

• 11.1.2.3.0
• 12.2.1.3.0
• 12.2.1.4.0

Cette vulnérabilité facilement exploitable permet à un attaquant non authentifié disposant d'un accès réseau via HTTP de compromettre Oracle Access Manager. Une exploitation réussie peut conduire à une prise de contrôle complète d'Oracle Access Manager.

*

Capture d'écran de fofa montrant le point de terminaison login.us2.oraclecloud.com

Le cybercriminel a affirmé à Bleeping Computer avoir compromis une version vulnérable des serveurs Oracle Cloud avec un CVE (faille) public qui n'a pas actuellement de PoC ou d'exploit public.

Comme nous pouvons le voir dans la capture d'écran susmentionnée, le point de connexion a été mis à jour pour la dernière fois en 2014 selon les résultats du FOFA. Par conséquent, Cloudsek a commencé à rechercher tout CVE plus ancien avec un impact élevé affectant la pile technologique. Au cours de ce processus, Cloudsek a trouvé une ancienne CVE affectant Oracle Fusion Middleware (CVE-2021-35587) qui n'a qu'un seul exploit public connu.

La vulnérabilité d'Oracle Fusion Middleware a été exploitée par le cybercriminel en raison d'un manque de pratiques de gestion des correctifs et/ou d'un codage non sécurisé. Cette vulnérabilité facilement exploitable permet à un attaquant non authentifié disposant d'un accès réseau via HTTP de compromettre Oracle Access Manager. Les attaques réussies de cette vulnérabilité peuvent aboutir à la prise de contrôle d'Oracle Access Manager (OAM). Cela correspond aux échantillons qui ont été divulgués sur Breachforums également.

Les implications pour la sécurité des données personnelles

L'exposition des informations personnelles identifiables (PII) de milliers de clients constitue une violation majeure des principes de confidentialité et de sécurité des données. Ces violations mettent en évidence les risques associés à la gestion des données sensibles dans le cloud, un domaine où Oracle occupe une place centrale en tant que fournisseur de services cloud. La fuite de données personnelles peut entraîner des conséquences graves pour les clients affectés, notamment des pertes financières dues à la fraude, des atteintes à la réputation et des implications légales pour les entreprises dont les informations ont été compromises.

Le Règlement Général sur la Protection des Données (RGPD) de l'Union Européenne, ainsi que d'autres législations mondiales sur la confidentialité des données, imposent des exigences strictes en matière de notification et de gestion des violations de données. En conséquence, les entreprises comme Oracle se doivent de renforcer leurs protocoles de sécurité et de respecter scrupuleusement les obligations légales en matière de notification des violations. Le non-respect de ces normes pourrait entraîner des sanctions financières substantielles et des actions en justice.

La réaction d'Oracle : un manque de transparence et d'engagement

Oracle a d'abord nié avoir été victime d'une violation après qu'un cybercriminel a prétendu vendre 6 millions d'enregistrements de données prétendument volés sur les serveurs de connexion SSO fédérés d'Oracle Cloud de l'entreprise : « Il n'y a pas eu de violation d'Oracle Cloud. Les informations d'identification publiées ne concernent pas Oracle Cloud. Aucun client d'Oracle Cloud n'a été victime d'une violation ou n'a perdu de données », a déclaré l'entreprise.

Cette déclaration intervient après qu'un cybercriminel répondant au pseudonyme rose87168 a publié plusieurs fichiers texte contenant un échantillon de base de données, des informations LDAP et une liste d'entreprises qui, selon lui, ont été volées à la plateforme SSO d'Oracle Clouds.

rose87168 vend désormais les données prétendument volées au service SSO d'Oracle Clouds pour un prix non divulgué ou en échange d'exploits zero-day sur le forum de piratage BreachForums. Il affirme que les données (y compris les mots de passe SSO cryptés, les fichiers Java Keystore (JKS), les fichiers clés et les clés JPS du gestionnaire d'entreprise) ont été volées après avoir piraté les serveurs Oracle « login.(region-name).oraclecloud. com ».

Sources : Cloudsek, Trustwave

Et vous ?

Dans quelle mesure la transparence est-elle cruciale après une violation de données ? Quels critères définissent une réaction appropriée d'une entreprise face à un incident de sécurité majeur ?

La cybersécurité est-elle suffisamment prise en compte dans la formation des employés des grandes entreprises technologiques comme Oracle, ou est-ce encore un domaine trop négligé ?

Les mesures de sécurité actuelles sont-elles adaptées aux menaces émergentes dans le contexte de la transition vers des systèmes de cloud computing et de l'intégration de solutions tierces ?

Faut-il imposer des sanctions plus sévères pour les entreprises qui ne respectent pas les normes de sécurité des données, au risque de favoriser une plus grande rigueur dans leur gestion des données sensibles ?

Quel rôle la réglementation, comme le RGPD, joue-t-elle dans la protection des données personnelles, et les entreprises doivent-elles aller au-delà des exigences légales pour garantir la sécurité des informations sensibles ?

[Stéphane le calme]

Oracle a caché une grave violation de données à ses clients et un cybercriminel les a mises en vente,
l'entreprise a nié l'attaque mais des chercheurs ont conclu que la violation de données était réelle

Une nouvelle inquiétante a émergé dans le monde de la cybersécurité, mettant en lumière un incident majeur que Oracle, l'une des plus grandes entreprises de logiciels au monde, aurait tenté de dissimuler. Selon des chercheurs en cybersécurité, Oracle aurait subi une fuite de données sérieuse qui a exposé des informations sensibles de ses clients. Alors que les cybercriminels sont maintenant en train de proposer ces données à la vente sur le dark web, Oracle persiste à nier toute attaque, malgré les conclusions des experts qui confirment la véracité de la fuite.

Bien que de nombreux chercheurs aient signalé que la violation de données était très préoccupante, Oracle est resté silencieux depuis qu'il a nié l'attaque. Kevin Beaumont estime que le silence de l'entreprise est irresponsable. De même, Alon Gal a qualifié de « fou » le manque de transparence et de conseils d'Oracle. En l'absence de conseils de la part de l'entreprise, Gal a orienté les clients concernés vers les recommandations d'atténuation de CloudSEK afin de minimiser les dommages potentiels causés par la fuite.

Tout a commencé avec une série d'alertes émises par des experts en cybersécurité qui ont détecté des indices suggérant qu'Oracle avait été victime d'une grave violation de sécurité. Selon ces spécialistes, un groupe de hackers aurait accédé à une quantité considérable de données clients sensibles, y compris des informations d'identification, des données financières et des informations personnelles sur plusieurs comptes utilisateurs.

Les chercheurs ont trouvé des preuves que les hackers avaient non seulement accédé à ces informations, mais les avaient également mises en vente sur des forums de hacking et des marchés noirs en ligne. Une fois les données mises en circulation, la situation a pris une tournure inquiétante, avec de nombreuses entreprises et particuliers ayant potentiellement vu leurs informations compromises.

En fait, au début du mois de mars, un cybercriminel répondant au nom de Rose87168 a affirmé avoir pénétré dans les serveurs SSO fédérés d'Oracle Cloud et exfiltré environ 6 millions d'enregistrements, affectant plus de 144 000 clients d'Oracle. Le cybercriminel a fourni une liste de clients internes et a menacé de vendre les données à moins que les clients ne paient pour retirer leurs données du trésor, qui comprenait des identifiants de connexion unique, des mots de passe Lightweight Directory Access Protocol, des clés OAuth2, des données de locataire, et plus encore. Rose87168 a également sollicité l'aide de la communauté des hackers pour déchiffrer les mots de passe hachés en échange de certaines données.

Un jour après que le cybercriminel a publié un petit échantillon des données, Oracle a déclaré à Bleeping Computer qu'il n'y avait pas eu de violation de son service cloud. Après le démenti d'Oracle, Rose87168 a commencé à divulguer des « preuves » aux médias et aux chercheurs en sécurité. Le groupe de sécurité Hudson Rock et les experts de CloudSEK ont conclu que les données et les identifiants étaient légitimes.

CloudSEK a déclaré que le pirate semble avoir utilisé une vulnérabilité zero-day (CVE-2021-35587) dans un logiciel de gestion d'accès lié à Oracle Fusion Middleware pour pénétrer dans les systèmes Oracle Cloud sans authentification.

Trustwave SpiderLabs a également examiné les preuves et a conclu que les données provenaient bien des serveurs Oracle Cloud.

L'entreprise de sécurité a également confirmé que le cache comprenait des informations personnelles identifiables telles que les noms et prénoms, les noms d'affichage complets, les adresses électroniques, les titres de poste, les numéros de département, les numéros de téléphone, les numéros de téléphone portable et même les coordonnées du domicile. Le pirate a également téléchargé l'enregistrement d'une réunion interne d'Oracle.

« De telles données sous forme de fuite posent de graves risques de cybersécurité et opérationnels pour l'organisation concernée », a ajouté Trustwave.

En outre, le spécialiste de la cybersécurité Kevin Beaumont a noté qu'Oracle avait « rebaptisé » les anciens services Oracle Cloud en « Oracle Classic ». Il affirme que la formulation prudente de la réponse de l'entreprise est un démenti techniquement factuel mais fallacieux. L'entreprise semble essayer de situer l'incident comme étant insignifiant ou laissant entendre qu'il n'y a pas eu de fuite d'enregistrements actuels d'Oracle Cloud. Pour référence, voici la déclaration d'Oracle à Bleeping Computer :

« Il n'y a pas eu de violation d'Oracle Cloud. Les informations d'identification publiées ne concernent pas Oracle Cloud. Aucun client d'Oracle Cloud n'a été victime d'une violation ou n'a perdu de données ».

Beaumont a trouvé suspecte l'utilisation répétée « d'Oracle Cloud », comme si l'on voulait faire porter le chapeau à Oracle Classic. Toutefois, quel que soit l'âge des serveurs ayant fait l'objet de la violation, CloudSEK a confirmé, par l'intermédiaire de certains de ses clients, que les données étaient exactes et à jour. Cette conclusion réfute toute idée selon laquelle la brèche était insignifiante ou contenait des informations obsolètes.

Le silence d'Oracle face à la menace

Malgré les découvertes des chercheurs, Oracle a maintenu un silence notable sur l'incident. L'entreprise a d'abord rejeté les affirmations concernant la violation de ses systèmes, niant en bloc toute implication. Cependant, au fur et à mesure que les preuves de la fuite se sont accumulées et que des chercheurs en cybersécurité ont confirmé l'ampleur de l'attaque, la position d'Oracle est devenue de plus en plus difficile à soutenir.

Dans une déclaration officielle, Oracle a insisté sur le fait qu'il n'y avait aucune preuve d'une violation de ses systèmes et que les accusations étaient infondées. Pourtant, la communauté de chercheurs et d'experts en sécurité informatique a démontré que les données exposées étaient réelles et provenaient bien de serveurs Oracle.

« Oracle vient de démentir cette fuite, qui a été vérifiée indépendamment par de nombreuses entreprises de cybersécurité », a déclaré Alon Gal, directeur technique de Hudson Rock, sur LinkedIn lundi.

Sans qu'Oracle n'ait encore rien dit (où sont l'Agence pour la cybersécurité et la sécurité des infrastructures, la Security Exchange Commission et la Federal Trade Commission pour demander instamment que cela soit fait ?), Rose87168 indique passer à une nouvelle phase, potentiellement en vendant ou en divulguant les données. Oracle vient de nier cette fuite qui a été vérifiée indépendamment par de nombreuses entreprises de cybersécurité.

Compte tenu de l'absence de réponse d'Oracle et de l'absence de conseils immédiats de la part d'un organisme de réglementation, je conseille de suivre les conseils fournis par CloudSEK :

1) Rotation immédiate des informations d'identification : Changer tous les identifiants SSO, LDAP et associés, en s'assurant que les politiques de mot de passe sont fortes et que l'AMF est appliquée.

2) Réponse à l'incident et analyse judiciaire : Mener une enquête approfondie pour identifier les accès non autorisés potentiels et atténuer les risques supplémentaires.

3) Surveillance des renseignements sur les menaces : Suivre en permanence les forums du dark web et des acteurs de la menace pour détecter les discussions liées aux données ayant fait l'objet d'une fuite.

Les conséquences potentielles pour les clients d'Oracle

La fuite de données soulève des questions sérieuses sur la sécurité des clients d'Oracle. Si les informations sensibles des entreprises et des utilisateurs finaux sont désormais entre les mains de cybercriminels, les risques de fraude, de vol d'identité et d'autres types de cyberattaques sont considérablement augmentés.

Les entreprises ayant des contrats avec Oracle, notamment dans des secteurs tels que la finance, la santé, et les télécommunications, sont particulièrement vulnérables à cette situation. L'impact potentiel sur leur réputation et sur la confiance des clients est également significatif. De plus, l'incapacité d'Oracle à fournir des réponses claires et des mesures de protection adéquates pourrait entraîner une perte de confiance parmi ses utilisateurs, affectant ainsi ses affaires à long terme.
Les actions futures de la communauté de cybersécurité

L'ensemble de données décrit par les en-têtes fournis représente un répertoire d'utilisateurs très détaillé et sensible, probablement extrait d'un système de gestion des identités et des accès d'entreprise ou d'un répertoire intégré aux ressources humaines tel que Microsoft Active Directory, Oracle Identity Manager ou une plateforme similaire. La fuite de telles données présente de graves risques opérationnels et de cybersécurité pour l'organisation concernée.

L'ensemble des données comprend des IIP (informations d'identification personnelle), telles que les noms et prénoms, les noms d'affichage complets, les adresses électroniques, les titres de poste, les numéros de département, les numéros de téléphone, les numéros de téléphone portable et même les coordonnées du domicile. Ce niveau d'exposition peut immédiatement conduire à l'usurpation d'identité, à des attaques de spear phishing et à des campagnes d'ingénierie sociale, où les attaquants se font passer pour des employés ou des cadres afin d'obtenir l'accès à d'autres systèmes internes ou de frauder des partenaires.

Une fuite de ce type pourrait potentiellement être utilisée pour lancer des attaques de bourrage d'identifiants, d'usurpation d'identité d'initiés ou de courtage d'accès initial, où les identifiants des systèmes internes sont vendus à des opérateurs de ransomware plus sophistiqués. Une fois l'accès obtenu, les attaquants pourraient exfiltrer des données juridiques ou financières sensibles, déployer des ransomwares pour perturber les opérations ou utiliser des outils d'initiés pour éviter d'être détectés tout en étendant leur emprise.

Face à l'inaction apparente d'Oracle, la communauté de cybersécurité continue d'examiner l'étendue de la fuite et les mesures à prendre pour limiter les dommages. Plusieurs experts en sécurité recommandent que les utilisateurs des services d'Oracle mettent en place des mesures de protection supplémentaires, telles que le changement de leurs mots de passe et la surveillance de leurs comptes pour détecter toute activité suspecte.

Par ailleurs, certains observateurs appellent à une régulation accrue des grandes entreprises technologiques pour garantir qu'elles prennent la sécurité des données au sérieux et qu'elles répondent de manière transparente aux violations lorsqu'elles se produisent.

Conclusion : une situation préoccupante pour Oracle

L'incident soulève des questions cruciales sur la gestion des données sensibles et la responsabilité des entreprises vis-à-vis de la sécurité de leurs clients. Si Oracle continue de refuser de reconnaître la gravité de la situation, il risque de perdre sa crédibilité auprès de ses utilisateurs et d'attirer davantage de critiques. Il est impératif que l'entreprise prenne des mesures proactives pour réparer la situation et restaurer la confiance de ses clients, notamment en menant une enquête transparente et en mettant en place des protections renforcées contre de futures violations.

Sources : Alon Gal, Trustwave SpiderLabs

Et vous ?

Dans quelle mesure les grandes entreprises comme Oracle sont-elles responsables de la gestion transparente des violations de données, et quel rôle les régulateurs doivent-ils jouer pour garantir cette transparence ?

Pourquoi Oracle a-t-il choisi de nier l'existence de la violation, même après que des experts en cybersécurité aient confirmé la fuite des données ? Cela remet-il en question la manière dont les entreprises gèrent les crises de sécurité ?

Quelle devrait être la responsabilité des entreprises comme Oracle pour informer rapidement et efficacement les clients dont les données ont été compromises ? Quelles sont les mesures de protection qui devraient être mises en place immédiatement pour les utilisateurs affectés ?

Dans un monde où les violations de données deviennent de plus en plus fréquentes, comment les entreprises peuvent-elles regagner la confiance des consommateurs après une telle fuite, et est-ce que la gestion de cette crise par Oracle pourrait affecter sa réputation à long terme ?

Dans quelle mesure cette fuite de données pourrait-elle affecter les actions d’Oracle et la perception des investisseurs ? Les entreprises devraient-elles rendre publiques leurs stratégies de gestion des cyberattaques pour rassurer le marché ?

[Stéphane le calme]

Oracle poursuivi en justice suite à deux violations massives de données sur le cloud : l'entreprise est accusée de négligence,
il lui est reproché également d'avoir gardé le silence

Des avocats spécialisés dans les recours collectifs ont entamé une procédure contre Oracle au Texas, où se trouve le siège de l'entreprise (à Austin), en raison de deux violations de données présumées. Le plaignant, Michael Toikach, résident de Floride, affirme que ses informations personnelles ont été compromises en raison de la négligence d'Oracle dans la protection des données. La plainte souligne que la violation a exposé des informations sensibles de plus de 6 millions d'utilisateurs, y compris des mots de passe SSO chiffrés, des fichiers Java KeyStore (JKS), des clés JPS du gestionnaire d'entreprise et des identifiants liés aux systèmes SSO et LDAP d'Oracle Cloud.

Toikach reproche à Oracle de ne pas avoir respecté les normes de sécurité de l'industrie et de ne pas avoir informé les individus affectés dans les 60 jours suivant la découverte de la violation, comme l'exige la loi texane. Toikach reproche à Oracle de ne pas avoir respecté les normes de sécurité de l'industrie et de ne pas avoir informé les individus affectés dans les 60 jours suivant la découverte de la violation, comme l'exige la loi texane. Parallèlement, le Federal Bureau of Investigation (FBI) a ouvert une enquête sur cette cyberattaque, ajoutant une pression supplémentaire sur le géant technologique.

Contexte

Des chercheurs en sécurité analysent un ensemble de données de 10 000 lignes fourni par un pirate qui prétend avoir pénétré dans Oracle Cloud. Le cybercriminel prétendait avoir 6 millions d'enregistrements Oracle Cloud, ce qui pourrait avoir affecté plus de 140 000 locataires. L'échantillon analysé contient des informations sur environ 1 500 organisations, ce qui, si cela est confirmé, soulignerait l'ampleur des données exfiltrées, selon les chercheurs de CloudSEK. Selon les chercheurs, certains éléments indiquent que le pirate a pu accéder aux environnements de production en se basant sur le formatage des identifiants des locataires.

Après avoir nié, Oracle a maintenu le silence sur la violation de données

Au début du mois de mars, un cybercriminel répondant au nom de Rose87168 a affirmé avoir pénétré dans les serveurs SSO fédérés d'Oracle Cloud et exfiltré environ 6 millions d'enregistrements, affectant plus de 144 000 clients d'Oracle. Le cybercriminel a fourni une liste de clients internes et a menacé de vendre les données à moins que les clients ne paient pour retirer leurs données du trésor, qui comprenait des identifiants de connexion unique, des mots de passe Lightweight Directory Access Protocol, des clés OAuth2, des données de locataire, et plus encore. Rose87168 a également sollicité l'aide de la communauté des hackers pour déchiffrer les mots de passe hachés en échange de certaines données.

Un jour après que le cybercriminel a publié un petit échantillon des données, Oracle a déclaré à Bleeping Computer qu'il n'y avait pas eu de violation de son service cloud. Après le démenti d'Oracle, Rose87168 a commencé à divulguer des « preuves » aux médias et aux chercheurs en sécurité. Le groupe de sécurité Hudson Rock et les experts de CloudSEK ont conclu que les données et les identifiants étaient légitimes.

CloudSEK a déclaré que le pirate semble avoir utilisé une vulnérabilité zero-day (CVE-2021-35587) dans un logiciel de gestion d'accès lié à Oracle Fusion Middleware pour pénétrer dans les systèmes Oracle Cloud sans authentification.

Trustwave SpiderLabs a également examiné les preuves et a conclu que les données provenaient bien des serveurs Oracle Cloud.

L'entreprise de sécurité a également confirmé que le cache comprenait des informations personnelles identifiables telles que les noms et prénoms, les noms d'affichage complets, les adresses électroniques, les titres de poste, les numéros de département, les numéros de téléphone, les numéros de téléphone portable et même les coordonnées du domicile. Le pirate a également téléchargé l'enregistrement d'une réunion interne d'Oracle.

« De telles données sous forme de fuite posent de graves risques de cybersécurité et opérationnels pour l'organisation concernée », a ajouté Trustwave.

Malgré les découvertes des chercheurs, Oracle a maintenu un silence notable sur l'incident. L'entreprise a d'abord rejeté les affirmations concernant la violation de ses systèmes, niant en bloc toute implication. Cependant, au fur et à mesure que les preuves de la fuite se sont accumulées et que des chercheurs en cybersécurité ont confirmé l'ampleur de l'attaque, la position d'Oracle est devenue de plus en plus difficile à soutenir.

Dans une déclaration officielle, Oracle a insisté sur le fait qu'il n'y avait aucune preuve d'une violation de ses systèmes et que les accusations étaient infondées. Pourtant, la communauté de chercheurs et d'experts en sécurité informatique a démontré que les données exposées étaient réelles et provenaient bien de serveurs Oracle.

« Oracle vient de démentir cette fuite, qui a été vérifiée indépendamment par de nombreuses entreprises de cybersécurité », a déclaré Alon Gal, directeur technique de Hudson Rock, sur LinkedIn lundi.

Une plainte collective au Texas : allégations de négligence et de violation de données

Le recours collectif a été déposé le 31 mars 2025 par le plaignant Michael Toikach, un résident de Floride, qui affirme que ses informations privées ont été stockées dans les systèmes d'Oracle par l'intermédiaire d'un prestataire de soins de santé qui utilisait le logiciel d'Oracle. La plainte affirme qu'Oracle n'a pas respecté les pratiques de sécurité standard de l'industrie et accuse la société de négligence, de violation de l'obligation fiduciaire, d'enrichissement sans cause et de violation de contrats avec des tiers bénéficiaires.

Toikach affirme qu'il a dû passer beaucoup de temps à surveiller ses comptes financiers et médicaux depuis que la nouvelle a éclaté. L'action en justice indique également qu'Oracle n'a pas respecté la loi de l'État du Texas, qui exige des organisations qu'elles informent les personnes concernées dans les 60 jours suivant la confirmation d'une violation. À la date du dépôt de la plainte, Oracle n'avait pas encore procédé à une telle notification.

L'enjeu réside dans la nature des données compromises. La plainte souligne que la fuite concerne non seulement des informations personnelles identifiables, mais aussi des données sensibles relatives à la santé. Elle cite plusieurs sources, dont Bloomberg et HIPAA Journal, qui ont rapporté qu'Oracle avait commencé à alerter certains clients du secteur de la santé, mais discrètement, au sujet d'une violation de données relatives à des patients. Les messages du pirate menaçaient de publier la liste complète des entreprises touchées, proposant d'exclure certaines organisations si elles payaient pour que leurs dossiers d'employés soient supprimés.

La plainte énumère une longue liste de manquements présumés de la part d'Oracle, notamment l'absence d'un chiffrement adéquat, une mauvaise surveillance du réseau et l'absence de détection ou de réponse à la violation en temps voulu. Elle souligne également les politiques publiques d'Oracle en matière de protection de la vie privée, qui stipulent que l'entreprise signalera toute violation sans délai excessif, ce qui, selon la plainte, n'a pas été le cas.

Avec des demandes de dommages-intérêts compensatoires, de services de surveillance du crédit et de réformes de l'infrastructure de sécurité des données d'Oracle, le recours collectif s'annonce comme l'un des défis juridiques les plus importants auxquels Oracle a été confronté ces dernières années. Cette affaire devrait également relancer le débat sur la responsabilité des fournisseurs de services cloud et sur la manière dont ils traitent les données sensibles de leurs clients et de leurs utilisateurs finaux.

Le FBI entre dans la danse

Le Federal Bureau of Investigation (FBI) enquête sur la cyberattaque subie par Oracle, qui a conduit au vol de données de patients, a rapporté Bloomberg News vendredi, citant une personne au courant de l'affaire. Le rapport indique qu'il n'est pas clair combien de dossiers de patients ont été volés et quels fournisseurs de soins de santé ont été ciblés.

Oracle, dont le siège se trouve à Austin, au Texas, a acquis la société américaine d'informatique de santé Cerner Corp pour 28 milliards de dollars en 2022, ce qui a renforcé l'implication de l'entreprise dans le secteur des dossiers médicaux électroniques et a probablement augmenté le nombre de clients du secteur de la santé sur sa plateforme en nuage.

L'achat s'est accompagné d'un contrat de 16 milliards de dollars avec le ministère américain des anciens combattants, qui a fait l'objet de pannes très médiatisées et d'un examen minutieux de la part des législateurs, selon le rapport.

La société a indiqué à ses clients que les pirates avaient accédé à d'anciens serveurs de Cerner, prenant des données qui n'avaient pas encore été transférées vers le service de stockage cloud d'Oracle, selon le rapport. Oracle a déclaré avoir pris connaissance de l'intrusion dans ses systèmes vers le 20 février, selon le rapport.

Ce n'est pas la première fois qu'Oracle se retrouve impliqué dans des litiges au Texas. En 2005, l'entreprise a fait face à une action antitrust conjointe intentée par le Département de la Justice américain et plusieurs États, dont le Texas, visant à bloquer l'acquisition de PeopleSoft par Oracle. Les plaignants craignaient que cette acquisition n'affaiblisse la concurrence dans les marchés des logiciels de gestion des ressources humaines et des services financiers. ​

La confiance des consommateurs dans les services cloud d'Oracle pourrait être gravement affectée par ces événements. Les violations de données massives érodent la confiance du public et peuvent entraîner une perte de clients et des revenus. De plus, ces incidents pourraient inciter les régulateurs à imposer des sanctions plus strictes et à renforcer les exigences en matière de sécurité des données.

Conclusion

Oracle se trouve à un carrefour critique, confronté à des défis juridiques et de réputation majeurs. La manière dont l'entreprise gérera cette crise influencera non seulement sa position sur le marché, mais aussi la perception générale de la sécurité et de la fiabilité des services cloud. Les développements futurs seront surveillés de près par les clients, les investisseurs et les régulateurs du monde entier.

Sources : plainte, Texas contre Oracle (2005)

Et vous ?

Dans quelle mesure les entreprises de cloud computing comme Oracle sont-elles responsables de la sécurité des données des utilisateurs, et quels mécanismes de responsabilité devraient être mis en place pour les protéger contre de telles violations ?

Quelles pourraient être les conséquences économiques à long terme pour Oracle si des clients importants décident de changer de fournisseur de services cloud à la suite de cette violation ?

En quoi cette plainte pourrait-elle influencer les futures actions en justice contre d'autres grandes entreprises de technologie ?

Quelle a été la gestion de crise d'Oracle dans cette affaire, et en quoi son manque de communication transparente a-t-il affecté la perception du public et des clients ? Oracle a-t-il sous-estimé l'impact potentiel de cet incident sur la confiance des consommateurs et sur sa réputation à long terme ?

[Bruno]

Oracle affirme que son cloud a été compromis, les services cloud se retrouvent au cœur du débat sur la responsabilité des fournisseurs,
relancé par l’exploitation d’une vulnérabilité pourtant bien connue

Oracle, le géant américain des logiciels et des technologies de base de données, a récemment été confronté à deux fuites de données majeures ayant exposé les informations personnelles identifiables (PII) de milliers de ses clients. L’affaire Oracle illustre à la fois les dérives d’une certaine culture d’entreprise américaine face aux normes européennes de protection des données et les limites persistantes dans la gouvernance de la cybersécurité. La révélation tardive, voire forcée, d’une intrusion confirmée dans l’infrastructure cloud d’Oracle, après un déni initial jugé peu crédible, a provoqué une salve de réactions critiques sur les réseaux, où se mêlent ironie, scepticisme et rappels juridiques.

Beaucoup dénoncent la stratégie de l’autruche adoptée par Oracle, illustrant une tendance bien connue des géants technologiques à minimiser les incidents tant qu'ils ne sont pas exposés publiquement. Le silence initial de l’entreprise, doublé de l’exploitation d’une faille non corrigée (CVE-2021-35587) dans un produit Oracle lui-même, soulève des interrogations légitimes sur sa responsabilité technique et morale. Plusieurs intervenants soulignent le contraste entre les exigences du RGPD, notification obligatoire dans les 72 heures, et l’opacité d’Oracle, suggérant que le non-respect de cette obligation pourrait lui valoir de lourdes sanctions, voire des audits invasifs.

Derrière l’incident, certains voient une opposition systémique : celle entre des entreprises américaines, souvent peu enclines à rendre des comptes, et une Union européenne qui, avec le RGPD, impose un cadre contraignant, fondé sur la responsabilité et la transparence. Si Oracle espérait éviter l’indignation publique par une gestion discrète des victimes, les réactions en ligne montrent que cette époque est révolue. Comme le résume un commentateur : « À long terme, s’en tenir aux règles n’est pas une mauvaise façon de faire les choses. »

Le silence d’Oracle face à une cyberattaque révélée par un pirate et confirmée par des experts

Des soupçons de cyberattaque contre le service cloud d’Oracle ont émergé fin mars, lorsqu’un individu opérant sous le pseudonyme « rose87168 » a affirmé avoir compromis deux serveurs de connexion client, surnommés en interne « Big Red ». Le pirate affirme avoir exfiltré près de six millions de données, incluant clés privées, identifiants chiffrés et entrées LDAP, concernant potentiellement des milliers d’organisations. Ces informations ont ensuite été mises en vente sur un forum dédié à la cybercriminalité.

La direction d’Oracle, sous la houlette de Safra Catz, a dans un premier temps nié toute intrusion. Une position vite fragilisée par les vérifications d’experts en cybersécurité, qui ont confirmé l’authenticité des données fournies en échantillon. Selon leurs analyses, la brèche proviendrait de l’exploitation d’une vulnérabilité connue, la faille CVE-2021-35587, dans Oracle Access Manager, un composant de la suite Fusion Middleware. En clair, Oracle aurait négligé de corriger un défaut critique affectant ses propres systèmes.

CVE-2021-35587 – Détail technique

Cette faille critique, notée 9.8/10 sur l’échelle CVSS, permet à un attaquant non authentifié d’accéder à Oracle Access Manager via HTTP, et potentiellement d’en prendre le contrôle total. Les versions affectées sont 11.1.2.3.0, 12.2.1.3.0 et 12.2.1.4.0. La vulnérabilité compromet gravement la confidentialité, l’intégrité et la disponibilité du système. Pour appuyer ses dires, le pirate a même laissé une preuve de son intrusion en déposant début mars un fichier texte avec son adresse e-mail sur le domaine login.us2.oraclecloud.com, démontrant ainsi un accès direct aux serveurs.

Depuis, au moins deux clients d’Oracle auraient été informés discrètement d’une compromission affectant leurs données. Oracle leur aurait assuré que l’attaque visait un ancien serveur contenant des données obsolètes, remontant à huit ans. Pourtant, un autre client affirme que des identifiants de 2024 figurent également parmi les fichiers volés. Une plainte a été déposée au Texas, et une enquête judiciaire est en cours, potentiellement conduite avec l’aide du FBI. Oracle aurait également sollicité la société CrowdStrike pour des mesures correctives, bien que cette dernière ait refusé de commenter, renvoyant les demandes vers Oracle.

Oracle reconnaît une nouvelle compromission d’identifiants clients

D’après Bloomberg, Oracle a informé ses clients qu'un pirate informatique s'était introduit dans un système informatique et avait volé les identifiants de connexion d'anciens clients, selon deux personnes au fait de l'affaire. Il s'agit de la deuxième violation de la cybersécurité que l'éditeur de logiciels a reconnue à ses clients au cours du mois dernier.

Le personnel d'Oracle a informé certains clients que l'attaquant avait eu accès à des noms d'utilisateur, des clés de passe et des mots de passe chiffrés, selon ces personnes, qui ont parlé sous condition de ne pas être identifiées parce qu'elles ne sont pas autorisées à discuter de l'affaire. Oracle leur a également dit que le FBI et la société de cybersécurité CrowdStrike Holdings. enquêtaient sur l'incident, selon ces personnes, qui ont ajouté que l'attaquant cherchait à extorquer de l'argent à l'entreprise. Oracle a indiqué à ses clients que cette intrusion était distincte d'un autre piratage que la société avait signalé à certains clients du secteur de la santé le mois dernier, selon ces personnes.

Les informations sur les informations d'identification volées ont commencé à circuler le mois dernier, lorsqu'une personne non identifiée a commencé à essayer de vendre en ligne des données qu'elle prétendait avoir volées sur les serveurs en nuage de l'entreprise basée à Austin, au Texas. À la suite de ces affirmations, qui ont été précédemment rapportées par Bleeping Computer, Oracle a nié que son produit de stockage en nuage avait été piraté.

Il est important de noter que cette compromission est distincte d’une autre attaque présumée ciblant Oracle Health, sur laquelle l’entreprise n’a pour l’instant fait aucun commentaire. La question du respect du Règlement général sur la protection des données (RGPD) se pose désormais, le texte européen imposant un délai de 72 heures pour notifier les personnes concernées d’une fuite de données. En cas de manquement, Oracle pourrait se voir infliger une amende équivalant à 2 à 4 % de son chiffre d’affaires mondial.

Les autorités nationales peuvent ou doivent imposer des amendes pour des violations spécifiques de la protection des données conformément au règlement général sur la protection des données. Les amendes sont appliquées en plus ou à la place d'autres recours ou pouvoirs correctifs, tels que l'ordre de mettre fin à une violation, une instruction d'ajuster le traitement des données pour se conformer au GDPR, ainsi que le pouvoir d'imposer une limitation temporaire ou définitive, y compris une interdiction de traitement des données. En ce qui concerne les dispositions relatives aux sous-traitants, ceux-ci peuvent faire l'objet de sanctions directement et/ou conjointement avec le responsable du traitement.

Les amendes doivent être effectives, proportionnées et dissuasives pour chaque cas individuel. Pour décider si une sanction peut être imposée et à quel niveau, les autorités disposent d'un catalogue légal de critères qu'elles doivent prendre en considération pour prendre leur décision. Entre autres, une infraction intentionnelle, le fait de ne pas prendre de mesures pour atténuer les dommages subis ou le manque de collaboration avec les autorités peuvent alourdir les sanctions. Pour les violations particulièrement graves, énumérées à l'art. 83(5) GDPR, l'amende peut aller jusqu'à 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % de son chiffre d'affaires global de l'exercice précédent, le montant le plus élevé étant retenu.

Toutefois, même le catalogue des violations moins graves figurant à l'art. 83(4) GDPR prévoit des amendes allant jusqu'à 10 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 2 % de son chiffre d'affaires mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Il est particulièrement important de noter que le terme « entreprise » est équivalent à celui utilisé dans les articles 101 et 102 du traité sur l'Union européenne. 101 et 102 du traité sur le fonctionnement de l'Union européenne (TFUE). Selon la jurisprudence de la Cour européenne de justice, « la notion d'entreprise englobe toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité ou de son mode de financement ».

Une entreprise peut donc être constituée non seulement d'une société individuelle au sens d'une personne morale, mais aussi de plusieurs personnes physiques ou morales. Ainsi, un groupe entier peut être traité comme une seule entreprise et son chiffre d'affaires annuel mondial total peut être utilisé pour calculer l'amende pour une infraction au GDPR de l'une de ses sociétés. En outre, chaque État membre fixe les règles relatives aux autres sanctions applicables aux infractions au règlement qui ne sont pas déjà couvertes par l'art.

Il s'agit très probablement de sanctions pénales pour certaines violations du GDPR ou de sanctions pour des violations de règles nationales qui ont été adoptées sur la base de clauses de flexibilité du GDPR. Les sanctions nationales doivent également être effectives, proportionnées et dissuasives.

Une situation punissable dans une entreprise peut être révélée par des activités d'inspection proactives menées par les autorités chargées de la protection des données, par un employé insatisfait ou par des clients ou des clients potentiels qui se plaignent auprès des autorités, par l'entreprise qui se dénonce elle-même, ou par la presse en général, en particulier par le journalisme d'investigation.

Aux États-Unis, même si aucune loi fédérale n’impose une notification obligatoire des violations, plusieurs États américains exigent des divulgations rapides. Et si les données de santé ont effectivement été compromises, Oracle s’exposerait à des sanctions au titre de la loi HIPAA.

Cybersécurité : quand l’opacité coûte plus cher que la transparence

L’affaire Oracle met en lumière plusieurs failles structurelles dans la gestion des incidents de cybersécurité, mais surtout un malaise profond entre deux visions de la régulation numérique : celle, européenne, fondée sur la transparence, la responsabilisation et la protection des droits individuels, et celle, plus opportuniste, de certains géants américains pour qui la priorité semble être la préservation de l’image et des profits, parfois au détriment de leurs obligations légales.

L'attitude d'Oracle, déni initial, absence de communication proactive, tentative d'atténuation en évoquant des données « anciennes », illustre une posture défensive qui devient de plus en plus intenable à l’heure des fuites massives et de la vigilance des autorités de régulation. Le fait qu’une vulnérabilité critique, connue depuis des années, n’ait pas été corrigée sur ses propres serveurs témoigne non seulement d’un manquement technique, mais aussi d’une légèreté préoccupante dans la gestion des risques.

Sur les forums et réseaux, l’indignation s’accompagne d’une ironie mordante : cette crise n’est pas perçue comme un accident isolé, mais comme le symptôme d’une culture d’entreprise où les comptes à rendre passent après les comptes à recevoir. Cette culture du « mieux vaut demander pardon que la permission » entre en collision directe avec le RGPD, qui impose non seulement une obligation de notification rapide, mais aussi une transparence envers les utilisateurs. Or, dans cette affaire, ni l’un ni l’autre n’ont été respectés de manière claire.

Cette affaire met donc en lumière non seulement une faille de cybersécurité, mais aussi une faille de gouvernance – technique, juridique et éthique – dans un monde où la confiance des utilisateurs repose de plus en plus sur la capacité à assumer ses erreurs, plutôt qu’à les dissimuler.

L’affaire suscite également une réflexion plus large sur l’efficacité de la régulation : certains estiment que des retards délibérés ou une application inégale des règles permettent à des entreprises puissantes d’échapper temporairement à leurs responsabilités. D'autres rappellent que si des sanctions significatives ne sont pas imposées dans des cas aussi flagrants, c’est tout le régime de protection des données qui risque d’être vidé de sa substance.

Enfin, un point soulevé avec humour mais non dénué de sérieux concerne l’absurdité d’un système dans lequel les entreprises misent sur l’ignorance ou la lassitude du public pour passer entre les mailles du filet. À long terme, ce pari est risqué : la confiance des utilisateurs s’érode, les régulateurs durcissent leurs positions, et les recours collectifs deviennent plus fréquents. Oracle, en tentant d’éviter une tempête médiatique, pourrait bien avoir déclenché une crise de confiance plus durable.

Sources : Nist, Intersoft Consulting, Federal Trade Commission

Et vous ?

Quel est votre avis sur le sujet ?

Comment une entreprise de la taille d’Oracle peut-elle justifier la non-correction d’une faille critique connue depuis plusieurs années ?

Peut-on encore faire confiance aux fournisseurs de services cloud pour assurer eux-mêmes la sécurité de leurs infrastructures ?

L’affaire Oracle montre-t-elle les limites du RGPD face à des groupes technologiques non-européens ?

Voir aussi :

Oracle aurait subi deux violations de données exposant les infos perso de milliers de clients, une faille exploitée en raison d'un «manque de pratiques de gestion des correctifs et/ou d'un codage non sécurisé»

Oracle a caché une grave violation de données à ses clients et un cybercriminel les a mises en vente, l'entreprise a nié l'attaque mais des chercheurs ont conclu que la violation de données était réelle

[kain_tn]

Quel est votre avis sur le sujet ?

C'est un manque de sérieux flagrant, comme avec toutes les grosses boites de cette taille.

Comment une entreprise de la taille d’Oracle peut-elle justifier la non-correction d’une faille critique connue depuis plusieurs années ?

Elle peut, justement parce qu'elle fait la taille de Oracle et que l'on va tout lui pardonner, et même oublier?
Qui se rappelle du Golden Ticket avec AD que Microsoft n'a pas corrigé ni divulgué avant des années, du fait d'un contrat en cours avec la défense US? Personne.

Peut-on encore faire confiance aux fournisseurs de services cloud pour assurer eux-mêmes la sécurité de leurs infrastructures ?

A-t-on jamais pu leur faire confiance?

L’affaire Oracle montre-t-elle les limites du RGPD face à des groupes technologiques non-européens ?

Bien sûr. On sait tous que le RGPD n'est dangereux que pour les petites et moyennes entreprises. Les GAFAM ont les moyens de payer des avocats, de mentir, et au pire de payer sans faire faillite.

[marsupial]

Dans ce contexte de déni de la réalité des acteurs clouds, je tiens à dire qu'un nouvel appel d'offres va être lancé pour l'hébergement des données du Health Data Hub par MS Azure. 6 ans après, la base doit être chez la NSA depuis belle lurette... Mais mieux vaut tard que jamais. L'état est fermement décidé à migrer vers un SecNumCloud certifié ou apparenté. Sage volonté à la lumière du traitement de cette affaire par Oracle. source lesechos.fr