Fuite de données Oracle Cloud : une cyberattaque contestée, mais des données vérifiées par les victimes !
Même si Oracle nie l'existence d'une cyberattaque ayant compromis les comptes de 6 millions d'utilisateurs, nous sommes contraint d'y croire : des entreprises ont confirmé l'authenticité des données dérobées. Voici ce que l'on sait.
Une cyberattaque revendiquée par un pirate
Revenons une semaine en arrière : le jeudi 20 mars 2025. Un cybercriminel qui se présente sous le pseudo de "rose87168" a affirmé avoir réussi à compromettre les serveurs Oracle Cloud. Il serait parvenu à mettre la main sur les données d'authentification et les mots de passe chiffrés de 6 millions d'utilisateurs, ce qui intègre des informations sensibles : des mots de passe SSO et LDAP, susceptibles d'être déchiffrés par celui qui ferait l'acquisition des données.
Comme souvent, lorsqu'une personne revendique une fuite de données, la publication est associée par un échantillon de données. Dans le cas présent, le pirate surnommé "rose87168" a partagé plusieurs fichiers contenant une base de données, des informations LDAP et une liste de 140 621 domaines d'entreprises et d'agences gouvernementales qui seraient affectées par cette violation.
Pour aller encore plus loin, le cybercriminel est entré en contact avec les journalistes de BleepingComputer pour partager un lien Archive.org pointant vers un fichier texte hébergé sur "login.us2.oraclecloud.com", contenant son adresse e-mail. De quoi prouver qu'il est en mesure de créer un fichier sur le serveur d'Oracle et que l'intrusion est bien réelle.
Oracle dément, mais des données jugées authentiques
Malgré ces allégations, Oracle a fermement nié toute compromission de son infrastructure cloud : "Il n'y a eu aucune violation d'Oracle Cloud. Les informations publiées ne concernent pas Oracle Cloud. Aucun client d'Oracle Cloud n'a subi de violation ni perdu de données."
Cependant, ces propos sont contestés... En effet, le média BleepingComputer a obtenu des échantillons des données et a contacté plusieurs entreprises concernées, qui ont confirmé l'authenticité des informations, incluant les noms d'affichage LDAP, les adresses e-mail et les identités des utilisateurs.
D'autres indices pointent vers l'exploitation d'une faille de sécurité ayant mené à la compromission de l'infrastructure d'Oracle. D'après la société Cloudsek, le serveur "login.us2.oraclecloud.com" fonctionnait sur Oracle Fusion Middleware 11g jusqu'au 17 février 2025. Or, cette version était vulnérable à la faille de sécurité associée à la référence CVE-2021-35587. Cette faiblesse logicielle permet à des attaquants non authentifiés de compromettre Oracle Access Manager. Un comble que l'éditeur soit affecté par une vulnérabilité dans son propre produit, notamment parce que le pirate affirme avoir utilisé cette faille pour mener son attaque.
Cette affaire soulève des questions sur la transparence de l'entreprise Oracle et la sécurité de ses infrastructures Cloud... Désormais, ce serait bien qu'Oracle donne des explications.
Les américains et leurs conceptions de la sécurité…
Ils font parfois bien rire.