Oracle affirme que son cloud a été compromis, les services cloud se retrouvent au cœur du débat sur la responsabilité des fournisseurs,

Relancé par l'exploitation d'une vulnérabilité pourtant bien connue

Oracle, le géant américain des logiciels et des technologies de base de données, a récemment été confronté à deux fuites de données majeures ayant exposé les informations personnelles identifiables (PII) de milliers de ses clients. L’affaire Oracle illustre à la fois les dérives d’une certaine culture d’entreprise américaine face aux normes européennes de protection des données et les limites persistantes dans la gouvernance de la cybersécurité. La révélation tardive, voire forcée, d’une intrusion confirmée dans l’infrastructure cloud d’Oracle, après un déni initial jugé peu crédible, a provoqué une salve de réactions critiques sur les réseaux, où se mêlent ironie, scepticisme et rappels juridiques.

Beaucoup dénoncent la stratégie de l’autruche adoptée par Oracle, illustrant une tendance bien connue des géants technologiques à minimiser les incidents tant qu'ils ne sont pas exposés publiquement. Le silence initial de l’entreprise, doublé de l’exploitation d’une faille non corrigée (CVE-2021-35587) dans un produit Oracle lui-même, soulève des interrogations légitimes sur sa responsabilité technique et morale. Plusieurs intervenants soulignent le contraste entre les exigences du RGPD, notification obligatoire dans les 72 heures, et l’opacité d’Oracle, suggérant que le non-respect de cette obligation pourrait lui valoir de lourdes sanctions, voire des audits invasifs.


Derrière l’incident, certains voient une opposition systémique : celle entre des entreprises américaines, souvent peu enclines à rendre des comptes, et une Union européenne qui, avec le RGPD, impose un cadre contraignant, fondé sur la responsabilité et la transparence. Si Oracle espérait éviter l’indignation publique par une gestion discrète des victimes, les réactions en ligne montrent que cette époque est révolue. Comme le résume un commentateur : « À long terme, s’en tenir aux règles n’est pas une mauvaise façon de faire les choses. »

Le silence d’Oracle face à une cyberattaque révélée par un pirate et confirmée par des experts

Des soupçons de cyberattaque contre le service cloud d’Oracle ont émergé fin mars, lorsqu’un individu opérant sous le pseudonyme « rose87168 » a affirmé avoir compromis deux serveurs de connexion client, surnommés en interne « Big Red ». Le pirate affirme avoir exfiltré près de six millions de données, incluant clés privées, identifiants chiffrés et entrées LDAP, concernant potentiellement des milliers d’organisations. Ces informations ont ensuite été mises en vente sur un forum dédié à la cybercriminalité.

La direction d’Oracle, sous la houlette de Safra Catz, a dans un premier temps nié toute intrusion. Une position vite fragilisée par les vérifications d’experts en cybersécurité, qui ont confirmé l’authenticité des données fournies en échantillon. Selon leurs analyses, la brèche proviendrait de l’exploitation d’une vulnérabilité connue, la faille CVE-2021-35587, dans Oracle Access Manager, un composant de la suite Fusion Middleware. En clair, Oracle aurait négligé de corriger un défaut critique affectant ses propres systèmes.

CVE-2021-35587 – Détail technique

Cette faille critique, notée 9.8/10 sur l’échelle CVSS, permet à un attaquant non authentifié d’accéder à Oracle Access Manager via HTTP, et potentiellement d’en prendre le contrôle total. Les versions affectées sont 11.1.2.3.0, 12.2.1.3.0 et 12.2.1.4.0. La vulnérabilité compromet gravement la confidentialité, l’intégrité et la disponibilité du système. Pour appuyer ses dires, le pirate a même laissé une preuve de son intrusion en déposant début mars un fichier texte avec son adresse e-mail sur le domaine login.us2.oraclecloud.com, démontrant ainsi un accès direct aux serveurs.

Depuis, au moins deux clients d’Oracle auraient été informés discrètement d’une compromission affectant leurs données. Oracle leur aurait assuré que l’attaque visait un ancien serveur contenant des données obsolètes, remontant à huit ans. Pourtant, un autre client affirme que des identifiants de 2024 figurent également parmi les fichiers volés. Une plainte a été déposée au Texas, et une enquête judiciaire est en cours, potentiellement conduite avec l’aide du FBI. Oracle aurait également sollicité la société CrowdStrike pour des mesures correctives, bien que cette dernière ait refusé de commenter, renvoyant les demandes vers Oracle.

Oracle reconnaît une nouvelle compromission d’identifiants clients

D’après Bloomberg, Oracle a informé ses clients qu'un pirate informatique s'était introduit dans un système informatique et avait volé les identifiants de connexion d'anciens clients, selon deux personnes au fait de l'affaire. Il s'agit de la deuxième violation de la cybersécurité que l'éditeur de logiciels a reconnue à ses clients au cours du mois dernier.

Le personnel d'Oracle a informé certains clients que l'attaquant avait eu accès à des noms d'utilisateur, des clés de passe et des mots de passe chiffrés, selon ces personnes, qui ont parlé sous condition de ne pas être identifiées parce qu'elles ne sont pas autorisées à discuter de l'affaire. Oracle leur a également dit que le FBI et la société de cybersécurité CrowdStrike Holdings. enquêtaient sur l'incident, selon ces personnes, qui ont ajouté que l'attaquant cherchait à extorquer de l'argent à l'entreprise. Oracle a indiqué à ses clients que cette intrusion était distincte d'un autre piratage que la société avait signalé à certains clients du secteur de la santé le mois dernier, selon ces personnes.

Les informations sur les informations d'identification volées ont commencé à circuler le mois dernier, lorsqu'une personne non identifiée a commencé à essayer de vendre en ligne des données qu'elle prétendait avoir volées sur les serveurs en nuage de l'entreprise basée à Austin, au Texas. À...