Oracle admet une violation de serveurs obsolètes, pas d'OCI

Trois semaines après Oracle s'en tient à sa position, à savoir que sa principale plateforme OCI n'est pas impliquée, mais la confusion aurait peut-être pu être évitée grâce à une meilleure communication. Subir une violation est un défi énorme pour n'importe quelle organisation, mais il est parfois bien moindre que les problèmes de communication avec les clients, les journalistes et l'armée de chercheurs intéressés prêts à lever toute ambiguïté. Des semaines après que la faille a été rendue publique, ces ambiguïtés n'ont toujours pas été levées.">la mise en ligne par un pirate de données prétendument issues de la compromission d'un serveur en production de service SSO d'Oracle, le fournisseur n'en démord pas. Malgré la confirmation de fuite de données par des clients, le fournisseur continue à minimiser la violation de données dont il a été victime, insistant dans un courriel envoyé aux clients cette semaine que le piratage n'a pas impliqué sa plate-forme principale, Oracle Cloud Infrastructure (OCI). Normalement, un tel démenti devrait mettre fin à l'histoire, mais les circonstances de cette violation et la réponse confuse de big red à ce sujet au cours des dernières semaines ont amené certains à remettre en question le compte-rendu de l'incident par l'entreprise. Le courriel de cette semaine affirmait que l'incident concernait « deux serveurs obsolètes » sans lien avec OCI ou les environnements cloud des clients.

« Oracle souhaite affirmer sans équivoque qu'Oracle Cloud - également connu sous le nom d'Oracle Cloud Infrastructure ou OCI - n'a PAS subi de violation de sécurité », indique la lettre. « Aucun environnement client OCI n'a été pénétré. Aucune donnée de client OCI n'a été consultée ou volée. Aucun service OCI n'a été interrompu ou compromis de quelque manière que ce soit », poursuit la lettre. Aucun mot de passe utilisable n'a été exposé car ils étaient « chiffrés et/ou hachés [....] Par conséquent, le pirate n'a pas été en mesure d'accéder aux environnements ou aux données des clients », conclut l'e-mail.

Des informations personnelles d'identification hackées

Mais si les « deux serveurs obsolètes » ne faisaient pas partie du système OCI, de quoi faisaient-ils partie ? Et à quelles données clients le pirate a-t-il eu accès, le cas échéant ? À ce stade, les opinions des chercheurs en sécurité et les contre-affirmations d'Oracle commencent à diverger. L'existence d'une brèche quelconque a été rendue publique pour la première fois en mars, lorsqu'un pirate utilisant le pseudonyme « rose87168 » a rendu public sur un forum de brèches le vol de six millions d'identifiants SSO et LDAP, parmi d'autres données sensibles, prétendument dérobées à la plateforme cloud de l'éditeur. Si c'est vrai, ce serait un gros problème car les identifiants SSO et LDAP, même hachés avec compétence, ne sont pas des éléments qu'un fournisseur de services cloud ou un client souhaiterait voir entre les mains d'un tiers.

Le pirate a déclaré à Bleeping Computer qu'il avait accédé au système Oracle en février, après quoi il avait tenté (en vain) de l'extorquer en échange de la non-divulgation des données. Mais même si les hachs restaient sécurisés, d'autres données sensibles pourraient être utilisées pour monter des attaques ciblées, a fait remarquer la société de sécurité Trustwave : « L'ensemble des données comprend des PII (informations personnelles d'identification), telles que les noms et prénoms, les noms d'affichage complets, les adresses électroniques, les fonctions, les numéros de département, les numéros de téléphone, les numéros de portable et même les coordonnées du domicile », écrivent les chercheurs de Trustwave, qui soulignent que les conséquences d'une telle violation pourraient être coûteuses. « Pour les entreprises concernées, une fuite comme celle-ci pourrait entraîner des responsabilités en cas de violation de données, des sanctions réglementaires, des atteintes à la réputation, des perturbations opérationnelles et une érosion à long terme de la confiance des clients », écrivent-ils.

Une ambiguïté persistante pas levée

Big red a par la suite démenti l'allégation de violation, déclarant aux médias : « Les informations d'identification publiées ne concernent pas l'Oracle Cloud. Aucun client d'Oracle Cloud n'a été victime d'une violation ou n'a perdu de données. » Au début du mois d'avril, l'entreprise a légèrement changé de tactique, admettant avoir été victime d'une violation tout en insistant sur le fait que les données avaient été extraites d'un « environnement existant » (alias Oracle Classic) datant de 2017. La société avait commencé à contacter ses clients, mentionnant que le FBI et CrowdStrike enquêtaient sur l'incident qui est venu s'ajouter à une autre violation de données - décrite comme un événement de cybersécurité - affectant sa filiale spécialisée dans les soins de santé, Health. Jusqu'ici, tout va bien en ce qui concerne les démentis d'Oracle, sauf que le pirate a ensuite partagé des données montrant son accès à login.us2.oraclecloud.com, un service qui fait partie d'Access Manager, le système IAM de l'entreprise utilisé pour contrôler l'accès aux systèmes hébergés par Oracle. Il est également apparu que certaines des données divulguées semblaient dater de 2024 ou 2025, mettant en doute l'affirmation d'Oracle selon laquelle elles étaient anciennes.

La principale plateforme OCI d'Oracle a-t-elle été violée ou non ?  Tout le monde n'est pas convaincu par les dénégations catégoriques de l'entreprise. Selon Kevin Beaumont, éminent chercheur en sécurité, l'entreprise a essentiellement joué sur les mots pour différencier les serveurs Oracle Classic dont elle admet qu'ils ont été violés et les serveurs OCI, dont elle maintient qu'ils ne l'ont pas été. « Oracle a rebadgé les anciens services Oracle Cloud en Oracle Classic. Oracle Classic a l'incident de sécurité », a noté Beaumont dans une dissection de l'incident et de la réponse d'Oracle sur Medium. « Oracle nie qu'il s'agit d'Oracle Cloud en utilisant cet argument - mais il s'agit toujours de services Oracle Cloud, qu'Oracle gère. Cela fait partie de son travail de jouer sur les mots. » La société américaine a également contacté discrètement plusieurs clients pour confirmer l'existence d'une sorte de violation, a-t-il ajouté. Les parties intéressées ont donc le sentiment insatisfaisant que quelque chose de fâcheux s'est produit, sans savoir exactement de quoi il s'agit.

Pour l'instant, Oracle s'en tient à sa position, à savoir que sa principale plateforme OCI n'est pas impliquée, mais la confusion aurait peut-être pu être évitée grâce à une meilleure communication. Subir une violation est un défi énorme pour n'importe quelle entreprise, mais il est parfois bien moindre que les problèmes de communication avec les clients, les journalistes et l'armée de chercheurs intéressés prêts à lever toute ambiguïté. Des semaines après que la faille a été rendue publique, ces ambiguïtés n'ont toujours pas été levées.