Le mois dernier, un pirate a revendiqué une cyberattaque contre Oracle Cloud. Dans une annonce publiée sur BreachForums, le cybercriminel indique avoir mis la main sur 6 millions d’enregistrements de données en compromettant les serveurs de l’entreprise américaine. La brèche affecterait plus de 140 000 entreprises dans le monde.
Bien vite, de nombreux clients d’Oracle Cloud ont confirmé une fuite massive de leurs données. De son côté, Oracle a fermement démenti la moindre intrusion dans ses serveurs. Le groupe américain assurait avec aplomb qu’il « n’y a eu aucune violation d’Oracle Cloud » et qu’aucun « client d’Oracle Cloud n’a connu de violation ou perdu de données ». Face aux démentis frénétiques d’Oracle, le pirate a publié une myriade d’échantillons… dont l’authenticité a été corroborée par des chercheurs.
À lire aussi : Cyberattaques nord-coréennes en Europe – Google sonne l’alerte au sujet des « guerriers de l’informatique »
Oracle confirme une fuite
Après plusieurs jours de mutisme, Oracle a finalement confirmé qu’une intrusion avait frappé son infrastructure. Comme le rapporte Bloomberg, Oracle indique qu’un pirate informatique s’est introduit dans le système et a volé d’anciennes informations de connexion appartenant à certains clients. Oracle a informé certains de ses clients qu’un pirate avait eu accès à des noms d’utilisateur, des clés d’accès et des mots de passe chiffrés.
Par contre, la firme continue d’assurer qu’il n’y a « pas eu de violation d’Oracle Cloud ». Selon le groupe américain, « les informations d’identification publiées ne sont pas liées à Oracle Cloud » et « aucun client d’Oracle Cloud n’a subi de violation ou perdu de données ». Il y a donc bien eu une intrusion, mais elle n’a pas touché Oracle Cloud.
Oracle joue sur les mots
En fait, l’attaque a frappé Oracle Classic… ce qui n’est pas la même chose qu’Oracle Cloud. Comme l’explique le chercheur Kevin Beaumont, « Oracle a renommé ses anciens services Oracle Cloud en Oracle Classic ». C’est donc Oracle Classic « qui a été touché par l’incident de sécurité ». Comme vous l’aurez compris, l’éditeur joue sur les mots pour minimiser la gravité des faits.
« Oracle affirme qu’‘Oracle Cloud’ n’est pas concerné, en jouant sur les mots — mais il s’agit quand même de services cloud qu’Oracle continue de gérer. C’est là toute l’ambiguïté », résume Kevin Beaumont.
L’entreprise a précisé aux clients que le système concerné n’était plus utilisé depuis huit ans, et que les identifiants volés présentent peu d’intérêt pour des hackers. Le chercheur Karl Sigler nuance les propos d’Oracle et estime qu’il s’agit tout de même d’un ensemble de données important, que des pirates pourraient utiliser pour envoyer des e-mails de phishing. En parallèle des annonces d’Oracle, le FBI a ouvert une enquête sur l’incident avec l’appui des chercheurs en sécurité de Crowdstrike.
À lire aussi : Plus de la moitié des cyberattaques « commencent dans votre boîte de réception »
Deux fuites chez Oracle
Quelques jours plus tôt, Oracle a également révélé avoir été victime d’une attaque contre Oracle Health, une filiale d’Oracle Corporation spécialisée dans les technologies de l’information pour le secteur de la santé. Plusieurs organisations de soins de santé et hôpitaux américains sont affectés. Les données des patients ont été subtilisées durant l’incident.
Selon les informations de Bleeping Computer, un gang de pirates s’en sert actuellement pour tenter d’extorquer de l’argent à des hôpitaux. Cette fuite n’a rien à voir avec la brèche d’Oracle Cloud Classic, indique la société. Là encore, le FBI a pris les choses en main en ouvrant une enquête au sujet de la fuite et des tentatives d’extorsion en cours.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Bloomberg
