Oracle s’empêtre dans des soupçons de fuites de données liées à son cloud et à son offre santé
Circulez y'a rien à voir

Depuis dix jours, un pirate affirme détenir un jeu de données relatives à 6 millions de clients Oracle, suite à une intrusion sur les serveurs d’authentification de l’éditeur. En dépit des allégations concordantes de plusieurs experts en cybersécurité, la société nie avoir été victime d’un piratage. Pendant que des clients inquiets déclenchent un recours collectf visant Oracle en justice, un second incident de cybersécurité, lié cette fois à Oracle Health, déclenche une enquête du FBI…
Un internaute de Floride a lancé lundi un recours collectif contre Oracle, au motif que l’éditeur n’aurait pas correctement réagi suite à une intrusion dans ses systèmes informatiques. La procédure, enregistrée le 31 mars auprès d’un tribunal du Texas (PDF), accuse Oracle d’avoir fait preuve de négligence, mais aussi d’avoir manqué à son devoir fiduciaire. De quoi motiver, d’après le plaignant, le versement de copieux dommages et intérêts, comme souvent en pareille affaire.
Une brèche de sécurité à 6 millions de lignes
Derrière cette procédure, qui pourrait paraître anecdotique au pays de la class action, réside un incident de sécurité dont l’ampleur exacte reste à déterminer. L’affaire démarre le 20 mars dernier, avec la publication, sur un forum spécialisé, d’une annonce proposant à la vente un fichier soi-disant composé des données de 6 millions d’utilisateurs des services d’authentification (SSO) et d’annuaires (LDAP) du cloud public d’Oracle.
Le pirate, qui affirme par ailleurs avoir mis la main sur des clés privées, des certificats et des mots de passe, publie la liste des sociétés clientes dont il détiendrait des données, et met en ligne un échantillon supposé de son larcin.
Dès le lendemain, Oracle nie toute brèche de sécurité, en des termes catégoriques. « Les informations d’identification publiées ne concernent pas Oracle Cloud. Aucun client Oracle Cloud n’a subi de violation ni perdu de données », affirme un porte-parole de l’éditeur au site The Register. En réponse, le pirate se vante d’avoir réussi à placer un fichier texte contenant son adresse e-mail sur un serveur de connexion Oracle Cloud. Il présente, en guise de preuve, un enregistrement du fichier réalisé par l’intermédiaire de la Wayback Machine, daté du 1ᵉʳ mars.
Les dénégations d’Oracle mises à mal par des analyses tierces
Quelques jours plus tard, l’attaquant trouve un nouveau relais. Alon Gal, directeur technique de la société israélienne de cyber-intelligence Hudson Rock, affirme avoir eu la possibilité de vérifier, auprès de ses clients, la validité des données contenues dans un échantillon de quelque 10 000 enregistrements rendus publics par le pirate. Le 25 mars, il déclare sur LinkedIn que trois de ses clients ont confirmé qu’il s’agissait bien de données issues d’environnements de production hébergés sur le cloud d’Oracle. L’un d’eux estime toutefois qu’il s’agit de données anciennes, datant de fin 2023.
Un autre acteur spécialisé, CloudSEK, conclut lui aussi à la véracité probable de la fuite le 25 mars, sur la base du même échantillon de 10 000 lignes. Le volume et la structure des informations divulguées rendent leur fabrication extrêmement difficile, ce qui renforce la crédibilité de la violation, écrit-il. CloudSEK remarque par ailleurs des indices concordants qui tendent à confirmer qu’il s’agissait bien de données de production (par opposition à un environnement de test), et que certaines d’entre elles sont bien liées à des mécaniques d’authentification.
Le média spécialisé Bleeping Computer est lui aussi entré en contact avec le pirate. Ses propres vérifications, menées auprès d’entreprises mentionnées dans les données consultées, accréditent la thèse d’un vrai vol de données. En étudiant de plus près le serveur sur lequel l’attaquant a déposé son adresse e-mail en guise de preuve, CloudSEK remarque deux autres phénomènes suspects.
Tentative discrète de damage control ?
Le serveur concerné aurait d’abord hébergé une instance de Fusion Middleware 11 g, une ancienne version de la plateforme applicative d’Oracle, dont le composant d’authentification souffre précisément d’une vulnérabilité documentée à partir de 2022. L’éditeur américain aurait ensuite placé hors ligne le serveur en question, puis formulé une demande de suppression de la « preuve » hébergée par le pirate sur Internet Archive.
Pour le chercheur en cybersécurité Kevin Beaumont, ces deux manœuvres seraient le signe qu’Oracle cherche à faire disparaître les traces de l’incident. Il affirme par ailleurs, sans amener d’élément probant attestant la réalité de ses allégations, qu’Oracle aurait entrepris de basculer certains des services concernés sous l’étiquette Oracle Classic (dédiée aux produits les plus anciens) pour cette dernière porte l’incident, et non la marque vedette Oracle Cloud.
« Oracle tente de rédiger des déclarations autour d’Oracle Cloud et d’utiliser des mots très spécifiques pour éviter toute responsabilité. Ce n’est pas bien. Oracle doit communiquer clairement, ouvertement et publiquement sur ce qui s’est passé, l’impact que cela peut avoir sur les clients, et la façon dont ils traitent le sujet », s’insurge-t-il.
En attendant une éventuelle réaction officielle de l’éditeur, le pirate a diffusé mardi, auprès d’Alon Gal, une vidéo dans laquelle il contacte le support chat d’Oracle, soi-disant par l’intermédiaire d’un compte client qu’il aurait donc été en mesure d’usurper.
Une autre fuite concerne Oracle Health
Oracle répondra-t-il officiellement à ces allégations ? L’éditeur américain doit dans le même temps gérer un autre incident de sécurité, lié cette fois à son SaaS Oracle Health, dédié à la gestion des dossiers médicaux informatisés. La solution était initialement éditée par un éditeur spécialisé baptisé Cerner, jusqu’au rachat de ce dernier par la firme de Larry Ellison, en 2022, pour 28 milliards de dollars.
Dans un courrier adressé à certains clients, Oracle aurait signalé avoir été victime, le 20 février dernier, d’une intrusion au niveau des derniers serveurs de Cerner qui n’avaient pas encore été migrés vers Oracle Cloud. Les données accédées auraient été répliquées vers un serveur distant, et « pourraient », selon Oracle, contenir des informations liées aux patients.
D’après Bloomberg, le FBI aurait ouvert une enquête au sujet de cette potentielle fuite de données, dont le périmètre exact n’a pas été communiqué. Le média évoque une attaque motivée par la volonté de faire payer une rançon aux entreprises médicales clientes d’Oracle Health.