Oracle poursuivi en justice suite à deux violations massives de données sur le cloud : accusée de négligence, notamment à cause de l'absence d'un chiffrement adéquat,

L'entreprise ne les aurait pas signalé

Des avocats spécialisés dans les recours collectifs ont entamé une procédure contre Oracle au Texas, où se trouve le siège de l'entreprise (à Austin), en raison de deux violations de données présumées. Le plaignant, Michael Toikach, résident de Floride, affirme que ses informations personnelles ont été compromises en raison de la négligence d'Oracle dans la protection des données. La plainte souligne que la violation a exposé des informations sensibles de plus de 6 millions d'utilisateurs, y compris des mots de passe SSO chiffrés, des fichiers Java KeyStore (JKS), des clés JPS du gestionnaire d'entreprise et des identifiants liés aux systèmes SSO et LDAP d'Oracle Cloud.

Toikach reproche à Oracle de ne pas avoir respecté les normes de sécurité de l'industrie et de ne pas avoir informé les individus affectés dans les 60 jours suivant la découverte de la violation, comme l'exige la loi texane. Toikach reproche à Oracle de ne pas avoir respecté les normes de sécurité de l'industrie et de ne pas avoir informé les individus affectés dans les 60 jours suivant la découverte de la violation, comme l'exige la loi texane. Parallèlement, le Federal Bureau of Investigation (FBI) a ouvert une enquête sur cette cyberattaque, ajoutant une pression supplémentaire sur le géant technologique.

Contexte

Des chercheurs en sécurité analysent un ensemble de données de 10 000 lignes fourni par un pirate qui prétend avoir pénétré dans Oracle Cloud. Le cybercriminel prétendait avoir 6 millions d'enregistrements Oracle Cloud, ce qui pourrait avoir affecté plus de 140 000 locataires. L'échantillon analysé contient des informations sur environ 1 500 organisations, ce qui, si cela est confirmé, soulignerait l'ampleur des données exfiltrées, selon les chercheurs de CloudSEK. Selon les chercheurs, certains éléments indiquent que le pirate a pu accéder aux environnements de production en se basant sur le formatage des identifiants des locataires.

Après avoir nié, Oracle a maintenu le silence sur la violation de données

Au début du mois de mars, un cybercriminel répondant au nom de Rose87168 a affirmé avoir pénétré dans les serveurs SSO fédérés d'Oracle Cloud et exfiltré environ 6 millions d'enregistrements, affectant plus de 144 000 clients d'Oracle. Le cybercriminel a fourni une liste de clients internes et a menacé de vendre les données à moins que les clients ne paient pour retirer leurs données du trésor, qui comprenait des identifiants de connexion unique, des mots de passe Lightweight Directory Access Protocol, des clés OAuth2, des données de locataire, et plus encore. Rose87168 a également sollicité l'aide de la communauté des hackers pour déchiffrer les mots de passe hachés en échange de certaines données.

Un jour après que le cybercriminel a publié un petit échantillon des données, Oracle a déclaré à Bleeping Computer qu'il n'y avait pas eu de violation de son service cloud. Après le démenti d'Oracle, Rose87168 a commencé à divulguer des « preuves » aux médias et aux chercheurs en sécurité. Le groupe de sécurité Hudson Rock et les experts de CloudSEK ont conclu que les données et les identifiants étaient légitimes.


CloudSEK a déclaré que le pirate semble avoir utilisé une vulnérabilité zero-day (CVE-2021-35587) dans un logiciel de gestion d'accès lié à Oracle Fusion Middleware pour pénétrer dans les systèmes Oracle Cloud sans authentification.

Trustwave SpiderLabs a également examiné les preuves et a conclu que les données provenaient bien des serveurs Oracle Cloud.

L'entreprise de sécurité a également confirmé que le cache comprenait des informations personnelles identifiables telles que les noms et prénoms, les noms d'affichage complets, les adresses électroniques, les titres de poste, les numéros de département, les numéros de téléphone, les numéros de téléphone portable et même les coordonnées du domicile. Le pirate a également téléchargé l'enregistrement d'une réunion interne d'Oracle.

« De telles données sous forme de fuite posent de graves risques de cybersécurité et opérationnels pour l'organisation concernée », a ajouté Trustwave.


Malgré les découvertes des chercheurs, Oracle a maintenu un silence notable sur l'incident. L'entreprise a d'abord rejeté les affirmations concernant la violation de ses systèmes, niant en bloc toute implication. Cependant, au fur et à mesure que les preuves de la fuite se sont accumulées et que des chercheurs en cybersécurité ont confirmé l'ampleur de l'attaque, la position d'Oracle est devenue de plus en plus difficile à soutenir.

Dans une déclaration officielle, Oracle a insisté sur le fait qu'il n'y avait aucune preuve d'une violation de ses systèmes et que les accusations étaient infondées. Pourtant, la communauté de chercheurs et d'experts en sécurité informatique a démontré que les données exposées étaient réelles et provenaient bien de serveurs Oracle.

« Oracle vient de démentir cette fuite, qui a été vérifiée indépendamment par de nombreuses entreprises de cybersécurité », a déclaré Alon Gal, directeur technique de Hudson Rock, sur LinkedIn lundi.

Une plainte collective au Texas : allégations de négligence et de violation de données

Le recours collectif a été déposé le 31 mars 2025 par le plaignant Michael Toikach, un résident de Floride, qui affirme que ses informations privées ont été stockées dans les systèmes d'Oracle par l'intermédiaire d'un prestataire de soins de santé qui utilisait le logiciel d'Oracle. La plainte affirme qu'Oracle n'a pas respecté les pratiques de sécurité standard de l'industrie et accuse la société de négligence, de violation de l'obligation fiduciaire, d'enrichissement sans cause et de violation de contrats avec des tiers bénéficiaires.

Toikach affirme qu'il a dû passer beaucoup de temps à surveiller ses comptes financiers et médicaux depuis que la nouvelle a éclaté. L'action en justice indique également qu'Oracle n'a pas respecté la loi de l'État du Texas, qui exige des organisations qu'elles informent les personnes concernées dans les 60 jours suivant la confirmation d'une violation. À la date du dépôt de la plainte, Oracle n'avait pas encore procédé à une telle notification.

L'enjeu réside dans la nature des données compromises. La plainte souligne que la fuite concerne non seulement des informations personnelles identifiables, mais aussi des données sensibles relatives à la santé. Elle cite plusieurs sources, dont Bloomberg et HIPAA Journal, qui ont rapporté qu'Oracle avait commencé à alerter certains clients du secteur de la santé, mais discrètement, au sujet d'une violation de données relatives à des patients. Les messages du pirate menaçaient de publier la liste complète des entreprises touchées, proposant d'exclure certaines organisations si elles payaient pour que leurs dossiers d'employés soient supprimés.

La plainte énumère une longue liste de manquements présumés de la part d'Oracle, notamment l'absence d'un chiffrement adéquat, une mauvaise surveillance du réseau et l'absence de détection ou de réponse à la violation en temps voulu. Elle souligne également les politiques publiques d'Oracle en matière de protection de la vie privée, qui stipulent que l'entreprise signalera toute violation sans délai excessif, ce qui, selon la plainte, n'a pas été le cas.

Avec des demandes de dommages-intérêts compensatoires, de services de surveillance du crédit et de réformes de l'infrastructure de sécurité des données d'Oracle, le recours collectif s'annonce comme l'un des défis juridiques les plus importants auxquels Oracle a été confronté ces dernières années. Cette affaire devrait également relancer le débat sur la responsabilité des fournisseurs de services cloud et sur la manière dont ils traitent les données sensibles de leurs clients et de leurs utilisateurs finaux.

Le FBI entre dans la danse

Le Federal Bureau of Investigation (FBI) enquête sur la cyberattaque subie par Oracle, qui a conduit au vol de données de patients, a rapporté Bloomberg News vendredi, citant une personne au courant de l'affaire. Le rapport indique qu'il n'est pas clair combien de dossiers de patients ont été volés et quels...