Oracle aurait tenté de dissimuler un grave incident de sécurité survenu dans l’un de ses services SaaS

 (doublepulsar.com)
4 points par GN⁺ 2025-04-01 | 2 commentaires | Partager sur WhatsApp
  • Un grave incident de cybersécurité s’est produit dans un service SaaS géré par Oracle, mais des éléments montrent qu’Oracle aurait tenté de le dissimuler sans en informer ses clients
  • Pour un fournisseur de services cloud, une divulgation transparente des incidents de cybersécurité est indispensable, mais Oracle a au contraire nié les faits

Aperçu de l’incident et affirmations du hacker

  • Le 21 mars 2025, le hacker rose87168 a affirmé avoir compromis certains services Oracle au sein de *.oraclecloud.com
  • Oracle a immédiatement démenti officiellement en déclarant qu’« il n’y a pas eu de compromission d’Oracle Cloud », et a expliqué que les identifiants concernés n’avaient aucun lien avec Oracle Cloud
  • Le hacker a toutefois fourni des liens et des éléments prouvant qu’il disposait d’un accès en écriture sur le serveur login.us2.oraclecloud.com
    • Ce serveur repose sur Oracle Access Manager et constitue un système géré directement par Oracle

Preuves de fuite et enregistrement d’une réunion interne

  • Le hacker a publié un enregistrement d’une réunion interne d’Oracle (2 heures)
  • Le hacker a également publié des documents supplémentaires, dont des fichiers de configuration de serveurs web Oracle et des paramètres de systèmes internes
    • Les données divulguées incluent des données réelles, comme les adresses e-mail d’employés d’entreprises clientes

Réponse d’Oracle et jeu sur les termes

  • Oracle affirme qu’il n’y a eu aucun problème sur les services Oracle Cloud, tout en changeant l’appellation vers un ancien service (Oracle Classic) afin d’esquiver le périmètre
  • Cela est interprété comme une manipulation du vocabulaire (wordsmithing) visant à dissimuler l’ampleur réelle des dommages
  • Oracle a demandé à Archive.org de supprimer des éléments de preuve, mais la deuxième URL n’a pas été supprimée et reste accessible

Réaction de la communauté sécurité et synthèse

  • Des experts en sécurité et des médias ont critiqué la réponse d’Oracle
    • Alors qu’Oracle exploite des services traitant des données clients, l’entreprise se soustrait à ses responsabilités de confiance et de transparence
  • Les services touchés et confirmés comme compromis reposent sur une infrastructure cloud exploitée directement par Oracle
  • Il ne s’agit pas d’un simple problème technique, mais aussi d’une question de responsabilité et d’éthique d’entreprise

Points clés

  • Le hacker a pénétré l’intérieur d’un service cloud d’Oracle et a exfiltré des données réelles ainsi que des informations système
  • Oracle ne l’a pas reconnu et a tenté de réduire la portée de l’incident par un jeu sur les termes
  • Des experts en sécurité demandent à Oracle des explications claires et publiques ainsi que des mesures de protection pour les clients

À lire aussi

2 commentaires

 
jjpark78 2025-04-01

Oracle a fait du Oracle.
 
GN⁺ 2025-04-01
Avis sur Hacker News
  • Si vous êtes client d’Oracle, cette affaire n’a probablement pas une grande importance. Si vous avez choisi Oracle, ce n’est sans doute ni pour la qualité de ses produits ni pour celle de l’entreprise, mais à cause d’accords officieux de la direction
  • Les incidents de sécurité sont devenus fréquents ces dernières années. Si Oracle l’avait reconnu, l’affaire aurait été oubliée en quelques jours. Mais elle ne cesse de s’envenimer
  • Si, en cas d’incident de sécurité, on ne fournit même pas le minimum d’informations, on peut se demander pourquoi il faudrait continuer à travailler avec cette entreprise. Je me demande quel est l’objectif final d’Oracle
  • Je me demande si Oracle est certain que cela ne s’est pas produit, ou s’il n’y a tout simplement pas de logs. Je me demande si la situation ne relève pas simplement du mensonge
  • Je n’ai pas vu récemment d’entreprise nier les faits avec une telle vigueur. Selon Ars Technica, un porte-parole d’Oracle a tenté de fournir une déclaration sous couvert d’anonymat, mais cela a été refusé
  • Les lois des États exigent que les clients soient informés en cas de violation de sécurité, mais elles sont ignorées faute de mécanismes d’application suffisants. Il faut une loi fédérale
  • J’utilise principalement AWS, mais un BDR d’Oracle m’a contacté via LinkedIn. J’ai demandé le rapport d’incident, mais je n’ai reçu qu’une brève réponse affirmant qu’il n’y avait eu aucune compromission sur Oracle Cloud
  • Un nouvel exemple vient s’ajouter aux scandales liés à la sécurité des données chez Oracle de Larry Ellison. Cela s’inscrit dans la continuité des autres scandales politiques et sociaux de Larry
  • NetSuite indemnise ses clients jusqu’à cinq fois le coût de la licence sur 12 mois en cas de perte subie par le client
  • L’ère de la post-vérité est déroutante. Mais cela semble être le mode de fonctionnement habituel d’Oracle
  • Il est temps pour Oracle de demander pardon à ses clients de longue date
  • Il est effrayant qu’Oracle puisse faire supprimer des éléments d’Archive.org