La semaine dernière, un cybercriminel a pris la parole pour revendiquer le piratage d’Oracle Cloud sur BreachForums. Sur le forum criminel, le pirate indique avoir compromis les serveurs d’Oracle et dérobé 6 millions d’enregistrements de données. Pour prouver ses dires, le pirate a mis en ligne plusieurs échantillons et envoyé une série de preuves à nos confrères de Bleeping Computer. Il prétend que le hack est survenu entre le 9 et 15 février 2025, et qu’un seul serveur a été touché.
En dépit des preuves avancées par le pirate, Oracle nie fermement avoir été victime d’une cyberattaque. Le groupe américain assure qu’il « n’y a eu aucune violation d’Oracle Cloud » et qu’aucun « client d’Oracle Cloud n’a connu de violation ou perdu de données ».
À lire aussi : les hackers ont une nouvelle « arme puissante » pour pirater vos comptes
Une fuite qui se confirme
Quelques jours après les faits, le média spécialisé a pu corroborer la véracité des données fournies par le cybercriminel auprès de plusieurs entreprises qui se servent d’Oracle Cloud. Les échantillons de données partagées sur BreachForums sont bien authentiques.
Les entreprises interrogées ont confirmé que les noms d’affichage LDAP (Lightweight Directory Access Protocol), les adresses e-mail, les prénoms et autres informations d’identification étaient corrects et leur appartenaient bel et bien. C’est également l’avis des chercheurs de CloudSEK, qui ont découvert la violation le 21 mars 2025.
Un grave incident de sécurité
Pour le chercheur Clément Domingo, tout laisser que « Oracle Cloud est victime de la plus grande cyberattaque de son histoire ». La fuite de données affecterait « 140 000 entreprises à travers le monde », si l’on en croit les assertions du vendeur sur BreachForums. Le pirate, qui opère sous l’alias rose87168, a en effet mis en ligne la liste complète des firmes touchées.
« Cette fuite d’informations touchant Oracle Cloud représente l’un des incidents de cybersécurité les plus graves de ces dernières années, touchant potentiellement des dizaines de milliers d’organisations dans le monde entier », déclare Clément Domingo sur son compte X.
🚨🌍 CYBERALERT MONDIALE 🔴| ⚡Oracle Cloud victime de la plus grande cyberattaque de son histoire – 140 000 entreprises à travers le monde impactées !
Cette fuite d'informations touchant Oracle Cloud représente l'un des incidents de cybersécurité les plus graves de ces… pic.twitter.com/VUYw8lbbYH
— SaxX ¯_(ツ)_/¯ (@_SaxX_) March 27, 2025
Les chercheurs de CloudSEK affirment que le pirate s’est servi d’une vulnérabilité critique dans le code d’Oracle Access Manager (OAM), un composant essentiel de la suite Oracle Identity and Access Management (IAM). En exploitant celle-ci, il a pu compromettre Oracle Access Manager.
À lire aussi : Une nouvelle faille de Windows menace votre PC, un correctif non officiel est disponible
Des données en vente
Dans un premier temps, le pirate a demandé une rançon de plus de 22 millions de dollars à Oracle. L’attaquant assure avoir envoyé un mail indiquant qu’il avait « creusé dans l’infrastructure de tableau de bord cloud et trouvé une vulnérabilité massive qui m’a donné un accès complet aux informations sur 6 millions d’utilisateurs ».
La société aurait refusé de négocier. Tandis qu’Oracle n’a toujours pas confirmé ou infirmé l’existence d’une intrusion, le cybercriminel a mis en vente toutes les informations obtenues au cours de l’attaque sur le marché noir. Il précise que « les entreprises peuvent payer un montant spécifique pour supprimer les informations de leurs employés de la liste avant qu’elle ne soit vendue ».
Comme le rappelle Clément Domingo, les données permettent d’usurper les identités des employés via les identifiants compromis, d’accéder aux données sensibles des entreprises, de lancer des attaques sur la chaîne d’approvisionnement, ou encore d’exécuter des attaques par ransomware.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Bleeping Computer
