Oracle poursuivi en justice suite à deux violations massives de données sur le cloud : accusée de négligence, notamment à cause de l'absence d'un chiffrement adéquat,

L'entreprise ne les aurait pas signalé

Oracle poursuivi en justice suite à deux violations massives de données sur le cloud : l'entreprise est accusée de négligence,
il lui est reproché également d'avoir gardé le silence

Des avocats spécialisés dans les recours collectifs ont entamé une procédure contre Oracle au Texas, où se trouve le siège de l'entreprise (à Austin), en raison de deux violations de données présumées. Le plaignant, Michael Toikach, résident de Floride, affirme que ses informations personnelles ont été compromises en raison de la négligence d'Oracle dans la protection des données. La plainte souligne que la violation a exposé des informations sensibles de plus de 6 millions d'utilisateurs, y compris des mots de passe SSO chiffrés, des fichiers Java KeyStore (JKS), des clés JPS du gestionnaire d'entreprise et des identifiants liés aux systèmes SSO et LDAP d'Oracle Cloud.

Toikach reproche à Oracle de ne pas avoir respecté les normes de sécurité de l'industrie et de ne pas avoir informé les individus affectés dans les 60 jours suivant la découverte de la violation, comme l'exige la loi texane. Toikach reproche à Oracle de ne pas avoir respecté les normes de sécurité de l'industrie et de ne pas avoir informé les individus affectés dans les 60 jours suivant la découverte de la violation, comme l'exige la loi texane. Parallèlement, le Federal Bureau of Investigation (FBI) a ouvert une enquête sur cette cyberattaque, ajoutant une pression supplémentaire sur le géant technologique.

Contexte

Des chercheurs en sécurité analysent un ensemble de données de 10 000 lignes fourni par un pirate qui prétend avoir pénétré dans Oracle Cloud. Le cybercriminel prétendait avoir 6 millions d'enregistrements Oracle Cloud, ce qui pourrait avoir affecté plus de 140 000 locataires. L'échantillon analysé contient des informations sur environ 1 500 organisations, ce qui, si cela est confirmé, soulignerait l'ampleur des données exfiltrées, selon les chercheurs de CloudSEK. Selon les chercheurs, certains éléments indiquent que le pirate a pu accéder aux environnements de production en se basant sur le formatage des identifiants des locataires.

Après avoir nié, Oracle a maintenu le silence sur la violation de données

Au début du mois de mars, un cybercriminel répondant au nom de Rose87168 a affirmé avoir pénétré dans les serveurs SSO fédérés d'Oracle Cloud et exfiltré environ 6 millions d'enregistrements, affectant plus de 144 000 clients d'Oracle. Le cybercriminel a fourni une liste de clients internes et a menacé de vendre les données à moins que les clients ne paient pour retirer leurs données du trésor, qui comprenait des identifiants de connexion unique, des mots de passe Lightweight Directory Access Protocol, des clés OAuth2, des données de locataire, et plus encore. Rose87168 a également sollicité l'aide de la communauté des hackers pour déchiffrer les mots de passe hachés en échange de certaines données.

Un jour après que le cybercriminel a publié un petit échantillon des données, Oracle a déclaré à Bleeping Computer qu'il n'y avait pas eu de violation de son service cloud. Après le démenti d'Oracle, Rose87168 a commencé à divulguer des « preuves » aux médias et aux chercheurs en sécurité. Le groupe de sécurité Hudson Rock et les experts de CloudSEK ont conclu que les données et les identifiants étaient légitimes.


CloudSEK a déclaré que le pirate semble avoir utilisé une vulnérabilité zero-day (CVE-2021-35587) dans un logiciel de gestion d'accès lié à Oracle Fusion Middleware pour pénétrer dans les systèmes Oracle Cloud sans authentification.

Trustwave SpiderLabs a également examiné les preuves et a conclu que les données provenaient bien des serveurs Oracle Cloud.

L'entreprise de sécurité a également confirmé que le cache comprenait des informations personnelles identifiables telles que les noms et prénoms, les noms d'affichage complets, les adresses électroniques, les titres de poste, les numéros de département, les numéros de téléphone, les numéros de téléphone portable et même les coordonnées du domicile. Le pirate a également téléchargé l'enregistrement d'une réunion interne d'Oracle.

« De telles données sous forme de fuite posent de graves risques de cybersécurité et opérationnels pour l'organisation concernée », a ajouté Trustwave.


Malgré les découvertes des chercheurs, Oracle a maintenu un silence notable sur l'incident. L'entreprise a d'abord rejeté les affirmations concernant la violation de ses systèmes, niant en bloc toute implication. Cependant, au fur et à mesure que les preuves de la fuite se sont accumulées et que des chercheurs en cybersécurité ont confirmé l'ampleur de l'attaque, la position d'Oracle est devenue de plus en plus difficile à soutenir.

Dans une déclaration officielle, Oracle a insisté sur le fait qu'il n'y avait aucune preuve d'une violation de ses systèmes et que les accusations étaient infondées. Pourtant, la communauté de chercheurs et d'experts en sécurité informatique a démontré que les données exposées étaient réelles et provenaient bien de serveurs Oracle.

« Oracle vient de démentir cette fuite, qui a été vérifiée indépendamment par de nombreuses entreprises de cybersécurité », a déclaré Alon Gal, directeur technique de Hudson Rock, sur LinkedIn lundi.

Une plainte collective au Texas : allégations de négligence et de violation de données

Le recours collectif a été déposé le 31 mars 2025 par le plaignant Michael Toikach, un résident de Floride, qui affirme que ses informations privées ont été stockées dans les systèmes d'Oracle par l'intermédiaire d'un prestataire de soins de santé qui utilisait le logiciel d'Oracle. La plainte affirme qu'Oracle n'a pas respecté les pratiques de sécurité standard de l'industrie et accuse la société de négligence, de violation de l'obligation fiduciaire, d'enrichissement sans cause et de violation de contrats avec des tiers bénéficiaires.

Toikach affirme qu'il a dû passer beaucoup de temps à surveiller ses comptes financiers et médicaux depuis que la nouvelle a éclaté. L'action en justice indique également qu'Oracle n'a pas respecté la loi de l'État du Texas, qui exige des organisations qu'elles informent les personnes concernées dans les 60 jours suivant la confirmation d'une violation. À la date du dépôt de la plainte, Oracle n'avait pas encore procédé à une telle notification.

L'enjeu réside dans la nature des données compromises. La plainte souligne que la fuite concerne non seulement des informations personnelles identifiables, mais aussi des données sensibles relatives à la santé. Elle cite plusieurs sources, dont Bloomberg et HIPAA Journal, qui ont rapporté qu'Oracle avait commencé à alerter certains clients du secteur de la santé, mais discrètement, au sujet d'une violation de données relatives à des patients. Les messages du pirate menaçaient de publier la liste complète des entreprises touchées, proposant d'exclure certaines organisations si elles payaient pour que leurs dossiers d'employés soient supprimés.

La plainte énumère une longue liste de manquements présumés de la part d'Oracle, notamment l'absence d'un chiffrement adéquat, une mauvaise surveillance du réseau et l'absence de détection ou de réponse à la violation en temps voulu. Elle souligne également les politiques publiques d'Oracle en matière de protection de la vie privée, qui stipulent que l'entreprise signalera toute violation sans délai excessif, ce qui, selon la plainte, n'a pas été le cas.

Avec des demandes de dommages-intérêts compensatoires, de services de surveillance du crédit et de réformes de l'infrastructure de sécurité des données d'Oracle, le recours collectif s'annonce comme l'un des défis juridiques les plus importants auxquels Oracle a été confronté ces dernières années. Cette affaire devrait également relancer le débat sur la responsabilité des fournisseurs de services cloud et sur la manière dont ils traitent les données sensibles de leurs clients et de leurs utilisateurs finaux.

Le FBI entre dans la danse

Le Federal Bureau of Investigation (FBI) enquête sur la cyberattaque subie par Oracle, qui a conduit au vol de données de patients, a rapporté Bloomberg News vendredi, citant une personne au courant de l'affaire. Le rapport indique qu'il n'est pas clair combien de dossiers de patients ont été volés et quels fournisseurs de soins de santé ont été ciblés.

Oracle, dont le siège se trouve à Austin, au Texas, a acquis la société américaine d'informatique de santé Cerner Corp pour 28 milliards de dollars en 2022, ce qui a renforcé l'implication de l'entreprise dans le secteur des dossiers médicaux électroniques et a probablement augmenté le nombre de clients du secteur de la santé sur sa plateforme en nuage.

L'achat s'est accompagné d'un contrat de 16 milliards de dollars avec le ministère américain des anciens combattants, qui a fait l'objet de pannes très médiatisées et d'un examen minutieux de la part des législateurs, selon le rapport.

La société a indiqué à ses clients que les pirates avaient accédé à d'anciens serveurs de Cerner, prenant des données qui n'avaient pas encore été transférées vers le service de stockage cloud d'Oracle, selon le rapport. Oracle a déclaré avoir pris connaissance de l'intrusion dans ses systèmes vers le 20 février, selon le rapport.

Ce n'est pas la première fois qu'Oracle se retrouve impliqué dans des litiges au Texas. En 2005, l'entreprise a fait face à une action antitrust conjointe intentée par le Département de la Justice américain et plusieurs États, dont le Texas, visant à bloquer l'acquisition de PeopleSoft par Oracle. Les plaignants craignaient que cette acquisition n'affaiblisse la concurrence dans les marchés des logiciels de gestion des ressources humaines et des services financiers. ​

La confiance des consommateurs dans les services cloud d'Oracle pourrait être gravement affectée par ces événements. Les violations de données massives érodent la confiance du public et peuvent entraîner une perte de clients et des revenus. De plus, ces incidents pourraient inciter les régulateurs à imposer des sanctions plus strictes et à renforcer les exigences en matière de sécurité des données.

Conclusion

Oracle se trouve à un carrefour critique, confronté à des défis juridiques et de réputation majeurs. La manière dont l'entreprise gérera cette crise influencera non seulement sa position sur le marché, mais aussi la perception générale de la sécurité et de la fiabilité des services cloud. Les développements futurs seront surveillés de près par les clients, les investisseurs et les régulateurs du monde entier.

Sources : plainte, Texas contre Oracle (2005)

Et vous ?

Dans quelle mesure les entreprises de cloud computing comme Oracle sont-elles responsables de la sécurité des données des utilisateurs, et quels mécanismes de responsabilité devraient être mis en place pour les protéger contre de telles violations ?

Quelles pourraient être les conséquences économiques à long terme pour Oracle si des clients importants décident de changer de fournisseur de services cloud à la suite de cette violation ?

En quoi cette plainte pourrait-elle influencer les futures actions en justice contre d'autres grandes entreprises de technologie ?

Quelle a été la gestion de crise d'Oracle dans cette affaire, et en quoi son manque de communication transparente a-t-il affecté la perception du public et des clients ? Oracle a-t-il sous-estimé l'impact potentiel de cet incident sur la confiance des consommateurs et sur sa réputation à long terme ?