Oracle sous le feu des critiques après une réponse controversée à un récent piratage
Oracle fait face à une vive opposition de la part de la communauté de la cybersécurité suite à sa gestion d'un récent incident de piratage informatique ayant exposé des informations utilisateur provenant de serveurs obsolètes. Bien que le géant technologique ait commencé à envoyer des notifications écrites aux clients concernés, ses détracteurs affirment que la réponse tardive et confuse de l'entreprise n'a fait qu'aggraver la situation.
Table of Contents
Du déni au contrôle des dégâts
La controverse a débuté le 20 mars 2025, lorsqu'un pirate informatique est apparu sur un forum de cybercriminalité réputé, affirmant avoir piraté les serveurs Oracle Cloud. L'attaquant a proposé à la vente des millions d'enregistrements, prétendument liés à plus de 140 000 locataires Oracle, et comprenant des identifiants de connexion chiffrés ou hachés.
Oracle a réagi rapidement, niant catégoriquement toute compromission des systèmes Oracle Cloud. Cependant, lorsque le pirate a commencé à divulguer des échantillons des données volées – jugés plus tard vraisemblablement authentiques par des chercheurs en cybersécurité –, des clients d'Oracle ont commencé à se manifester pour confirmer que leurs données étaient impliquées dans la brèche. Cela contredit les déclarations initiales d'Oracle et soulève de sérieuses questions quant à la transparence de sa communication.
Suite à ces révélations, Oracle est passé des démentis publics aux révélations confidentielles. L'entreprise aurait contacté verbalement ses clients pour admettre que, même si certains systèmes avaient été consultés, la faille n'impliquait pas Oracle Cloud Infrastructure (OCI). Ce n'est que le 7 avril, plus de deux semaines après la publication de la faille, qu'Oracle a commencé à émettre des notifications écrites officielles.
Fuite de données liée à des serveurs hérités
Dans ses communications écrites, Oracle a insisté sur le fait qu'« aucun environnement client OCI n'a été infiltré » et a affirmé qu'aucune donnée ni aucun service client n'avait été compromis. L'entreprise a en revanche révélé que l'attaquant avait accédé aux noms d'utilisateur de deux serveurs hérités, inutilisés et ne faisant pas partie d'OCI.
Selon Oracle, les mots de passe associés à ces noms d'utilisateur étaient soit chiffrés, soit hachés, les rendant inutilisables. Le pirate aurait confirmé n'avoir pas réussi à déchiffrer les identifiants chiffrés.
Malgré ces assurances, les experts en cybersécurité restent sceptiques. L'analyste en sécurité Max Solonski a critiqué la minimisation de la situation par Oracle, soulignant que les noms d'utilisateur eux-mêmes peuvent être considérés comme des données clients et peuvent néanmoins présenter un risque. Il a également souligné que les mots de passe chiffrés, bien que plus sûrs, pouvaient néanmoins être déchiffrés au fil du temps avec suffisamment d'efforts.
Le chercheur en sécurité Kevin Beaumont a ajouté aux critiques, qualifiant la notification officielle d'Oracle de « réponse exceptionnellement médiocre pour une entreprise qui gère des données extrêmement sensibles ». Il soupçonne que les systèmes compromis faisaient partie de l'infrastructure héritée d'Oracle, connue sous le nom de serveurs Oracle Classic ou Gen1, ce qui aurait pu permettre à l'entreprise de nier techniquement une violation d'OCI tout en subissant une compromission.
Questions persistantes et examen de plus en plus minutieux
Bien qu'Oracle maintienne que les données volées étaient anciennes, certains rapports suggèrent que les informations pourraient remonter à 2024, voire 2025, ce qui corrobore les affirmations du pirate. Cette divergence alimente les doutes quant à l'exhaustivité des informations divulguées par Oracle et à l'étendue réelle de la violation.
Des questions restent également sans réponse quant aux circonstances de la brèche. Les premières investigations suggèrent l'exploitation d'une vulnérabilité obsolète, ce qui soulève des inquiétudes quant à la gestion des correctifs par Oracle et à la sécurité de ses systèmes existants.
Alors que les clients et les experts du secteur attendent plus de détails, la réponse d'Oracle continue de susciter de vives critiques. Cet incident souligne l'importance d'une communication rapide et transparente en cas de crise de cybersécurité, en particulier pour les entreprises qui gèrent d'importants volumes de données sensibles.
