Le printemps pour Oracle est synonyme de problèmes de cybersécurité. En effet, une personne non identifiée aurait tenté de vendre des données volées provenant des serveurs cloud de l’entreprise le mois dernier, selon Bloomberg, citant deux sources proches de l’affaire. Le personnel d’Oracle a informé certains clients cette semaine qu’un attaquant avait pénétré dans un vieux système qui n’était plus utilisé depuis huit ans. Pour la société, les informations d’identification volées présentaient donc peu de risques. Néanmoins, Bloomberg souligne que les données subtilisées comprenaient des identifiants de connexion des clients datant, pour certains, de 2024.

Oracle a indiqué à certains clients que le Federal Bureau of Investigation (FBI) et la société de cybersécurité CrowdStrike enquêtaient sur cette fuite de données. Il a par ailleurs précisé que l’attaquant avait exigé le paiement d'une rançon.

Oracle Health et l'incident Cerner

La firme américaine a souligné que cette violation de données est distincte de l’incident de piratage signalé le mois dernier, qui avait concerné certains clients du secteur de la santé. Selon BleepingComputer, cet incident provient d'anciens serveurs de Cerner, une entreprise de logiciels médicaux acquise par Oracle en 2022. Ces serveurs, encore en cours de migration vers OCI (Oracle Cloud Infrastructure), auraient été compromis. Oracle Health a notifié à ses clients cette fuite de sécurité : « Nous vous écrivons pour vous informer qu’en date du 20 février 2025, nous avons pris connaissance d’un événement de cybersécurité impliquant un accès non autorisé à une certaine quantité de vos données Cerner, stockées sur un ancien serveur non encore migré vers Oracle Cloud. »

Controverse autour de la violation du Cloud Oracle

La divulgation de ces incidents intervient alors que la société de cybersécurité CloudSEK a signalé une possible compromission des serveurs d'authentification SSO (Single Sign-On) d'Oracle Cloud. Un pirate a affirmé avoir dérobé des données d'authentification LDAP de six millions de personnes et a partagé des preuves sous forme de fichiers archives contenant des adresses e-mail. Bien qu'Oracle ait nié toute compromission de son infrastructure cloud, des clients ont confirmé l'authenticité de certains échantillons de données volées. De plus, le cybercriminel a publié une URL archivée et démontré un accès en écriture à ce service utilisant Oracle Access Manager.

En réaction, Oracle a demandé à Wayback Machine (Archive.org) de supprimer l'URL en question, ce qui a suscité de vives critiques de la part des experts en cybersécurité, qui considèrent cette mesure comme une tentative de dissimulation de l'incident. Rahul Sassi, CEO de CloudSEK, a réagi en déclarant : « En cybersécurité, le déni ne neutralise pas le danger, la transparence le fait. » Il a insisté sur l’importance de la responsabilité et de la clarté dans la gestion des cyberattaques.