Oracle affirme que son cloud a été compromis, les services cloud se retrouvent au cœur du débat sur la responsabilité des fournisseurs,

Relancé par l'exploitation d'une vulnérabilité pourtant bien connue

Oracle, le géant américain des logiciels et des technologies de base de données, a récemment été confronté à deux fuites de données majeures ayant exposé les informations personnelles identifiables (PII) de milliers de ses clients. L’affaire Oracle illustre à la fois les dérives d’une certaine culture d’entreprise américaine face aux normes européennes de protection des données et les limites persistantes dans la gouvernance de la cybersécurité. La révélation tardive, voire forcée, d’une intrusion confirmée dans l’infrastructure cloud d’Oracle – après un déni initial jugé peu crédible – a provoqué une salve de réactions critiques sur les réseaux, où se mêlent ironie, scepticisme et rappels juridiques.

Beaucoup dénoncent la stratégie de l’autruche adoptée par Oracle, illustrant une tendance bien connue des géants technologiques à minimiser les incidents tant qu'ils ne sont pas exposés publiquement. Le silence initial de l’entreprise, doublé de l’exploitation d’une faille non corrigée (CVE-2021-35587) dans un produit Oracle lui-même, soulève des interrogations légitimes sur sa responsabilité technique et morale. Plusieurs intervenants soulignent le contraste entre les exigences du RGPD – notification obligatoire dans les 72 heures – et l’opacité d’Oracle, suggérant que le non-respect de cette obligation pourrait lui valoir de lourdes sanctions, voire des audits invasifs.


Derrière l’incident, certains voient une opposition systémique : celle entre des entreprises américaines, souvent peu enclines à rendre des comptes, et une Union européenne qui, avec le RGPD, impose un cadre contraignant, fondé sur la responsabilité et la transparence. Si Oracle espérait éviter l’indignation publique par une gestion discrète des victimes, les réactions en ligne montrent que cette époque est révolue. Comme le résume un commentateur : « À long terme, s’en tenir aux règles n’est pas une mauvaise façon de faire les choses. »

Le silence d’Oracle face à une cyberattaque révélée par un pirate et confirmée par des experts

Des soupçons de cyberattaque contre le service cloud d’Oracle ont émergé fin mars, lorsqu’un individu opérant sous le pseudonyme « rose87168 » a affirmé avoir compromis deux serveurs de connexion client, surnommés en interne « Big Red ». Le pirate affirme avoir exfiltré près de six millions de données, incluant clés privées, identifiants chiffrés et entrées LDAP, concernant potentiellement des milliers d’organisations. Ces informations ont ensuite été mises en vente sur un forum dédié à la cybercriminalité.

La direction d’Oracle, sous la houlette de Safra Catz, a dans un premier temps nié toute intrusion. Une position vite fragilisée par les vérifications d’experts en cybersécurité, qui ont confirmé l’authenticité des données fournies en échantillon. Selon leurs analyses, la brèche proviendrait de l’exploitation d’une vulnérabilité connue — la faille CVE-2021-35587 — dans Oracle Access Manager, un composant de la suite Fusion Middleware. En clair, Oracle aurait négligé de corriger un défaut critique affectant ses propres systèmes.

CVE-2021-35587 – Détail technique

Cette faille critique, notée 9.8/10 sur l’échelle CVSS, permet à un attaquant non authentifié d’accéder à Oracle Access Manager via HTTP, et potentiellement d’en prendre le contrôle total. Les versions affectées sont 11.1.2.3.0, 12.2.1.3.0 et 12.2.1.4.0. La vulnérabilité compromet gravement la confidentialité, l’intégrité et la disponibilité du système. Pour appuyer ses dires, le pirate a même laissé une preuve de son intrusion en déposant début mars un fichier texte avec son adresse e-mail sur le domaine login.us2.oraclecloud.com, démontrant ainsi un accès direct aux serveurs.

Depuis, au moins deux clients d’Oracle auraient été informés discrètement d’une compromission affectant leurs données. Oracle leur aurait assuré que l’attaque visait un ancien serveur contenant des données obsolètes, remontant à huit ans. Pourtant, un autre client affirme que des identifiants de 2024 figurent également parmi les fichiers volés. Une plainte a été déposée au Texas, et une enquête judiciaire est en cours, potentiellement conduite avec l’aide du FBI. Oracle aurait également sollicité la société CrowdStrike pour des mesures correctives, bien que cette dernière ait refusé de commenter, renvoyant les demandes vers Oracle.

Oracle reconnaît une nouvelle compromission d’identifiants clients

D’après Bloomberg, Oracle a informé ses clients qu'un pirate informatique s'était introduit dans un système informatique et avait volé les identifiants de connexion d'anciens clients, selon deux personnes au fait de l'affaire. Il s'agit de la deuxième violation de la cybersécurité que l'éditeur de logiciels a reconnue à ses clients au cours du mois dernier.

Le personnel d'Oracle a informé certains clients que l'attaquant avait eu accès à des noms d'utilisateur, des clés de passe et des mots de passe chiffrés, selon ces personnes, qui ont parlé sous condition de ne pas être identifiées parce qu'elles ne sont pas autorisées à discuter de l'affaire. Oracle leur a également dit que le FBI et la société de cybersécurité CrowdStrike Holdings Inc. enquêtaient sur l'incident, selon ces personnes, qui ont ajouté que l'attaquant cherchait à extorquer de l'argent à l'entreprise. Oracle a indiqué à ses clients que cette intrusion était distincte d'un autre piratage que la société avait signalé à certains clients du secteur de la santé le mois dernier, selon ces personnes.

Les informations sur les informations d'identification volées ont commencé à circuler le mois dernier, lorsqu'une personne non identifiée a commencé à essayer de vendre en ligne des données qu'elle prétendait avoir volées sur les serveurs en nuage de l'entreprise basée à Austin, au Texas. À la suite de ces affirmations, qui ont été précédemment rapportées par Bleeping Computer, Oracle a nié que son produit de stockage en nuage avait été piraté.

Il est important de noter que cette compromission est distincte d’une autre attaque présumée ciblant Oracle Health, sur laquelle l’entreprise n’a pour l’instant fait aucun commentaire. La question du respect du Règlement général sur la protection des données (RGPD) se pose désormais, le texte européen imposant un délai de 72 heures pour notifier les personnes concernées d’une fuite de données. En cas de manquement, Oracle pourrait se voir infliger une amende équivalant à 2 à 4 % de son chiffre d’affaires mondial.

Les autorités nationales peuvent ou doivent imposer des amendes pour des violations spécifiques de la protection des données conformément au règlement général sur la protection des données. Les amendes sont appliquées en plus ou à la place d'autres recours ou pouvoirs correctifs, tels que l'ordre de mettre fin à une violation, une instruction d'ajuster le traitement des données pour se conformer au GDPR, ainsi que le pouvoir d'imposer une limitation temporaire ou définitive, y compris une interdiction de traitement des données. En ce qui concerne les dispositions relatives aux sous-traitants, ceux-ci peuvent faire l'objet de sanctions directement et/ou conjointement avec le responsable du traitement.

Les amendes doivent être effectives, proportionnées et dissuasives pour chaque cas individuel. Pour décider si une sanction peut être imposée et à quel niveau, les autorités disposent d'un catalogue légal de critères qu'elles doivent prendre en considération pour prendre leur décision. Entre autres, une infraction intentionnelle, le fait de ne pas prendre de mesures pour atténuer les dommages subis ou le manque de collaboration avec les autorités peuvent alourdir les sanctions. Pour les violations particulièrement graves, énumérées à l'art. 83(5) GDPR, l'amende peut aller jusqu'à 20 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 4 % de son chiffre d'affaires global de l'exercice précédent, le montant le plus élevé étant retenu.

Toutefois, même le catalogue des violations moins graves figurant à l'art. 83(4) GDPR prévoit des amendes allant jusqu'à 10 millions d'euros ou, dans le cas d'une entreprise, jusqu'à 2 % de son chiffre d'affaires mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Il est particulièrement important de noter que le terme « entreprise » est équivalent à celui utilisé dans les articles 101 et 102 du traité sur l'Union européenne. 101 et 102 du traité sur le fonctionnement de l'Union européenne (TFUE). Selon la jurisprudence de la Cour européenne de justice, « la notion d'entreprise englobe toute entité exerçant une activité économique, indépendamment du statut juridique de cette entité ou de son mode de financement ».

Une entreprise peut donc être constituée non seulement d'une société individuelle au sens d'une personne morale, mais aussi de plusieurs personnes physiques ou morales. Ainsi, un groupe entier peut être traité comme une seule entreprise et son chiffre d'affaires annuel mondial total peut être utilisé pour calculer l'amende pour une infraction au GDPR de l'une de ses sociétés. En outre, chaque État membre fixe les règles relatives aux autres sanctions applicables aux infractions au règlement qui ne sont pas déjà couvertes par l'art.

Il s'agit très probablement de sanctions pénales pour certaines violations du GDPR ou de sanctions pour des violations de règles nationales qui ont été adoptées sur la base de clauses de flexibilité du GDPR. Les sanctions nationales doivent également être effectives, proportionnées et dissuasives.

Une situation punissable dans une entreprise peut être révélée par des activités d'inspection proactives menées par les autorités chargées de la protection des données, par un employé insatisfait ou par des clients ou des clients potentiels qui se plaignent auprès des autorités, par l'entreprise qui se dénonce elle-même, ou par la presse en général, en particulier par le journalisme d'investigation.

Aux États-Unis, même si aucune loi fédérale n’impose une notification obligatoire des violations, plusieurs États américains exigent des divulgations rapides. Et si les données de santé ont effectivement été compromises, Oracle s’exposerait à des sanctions au titre de la loi HIPAA.

Cybersécurité : quand l’opacité coûte plus cher que la transparence

L’affaire Oracle met en lumière plusieurs failles structurelles dans la gestion des incidents...