Un procès déposé lundi a accusé Oracle de ne pas reconnaître une récente violation de données – mais la société aurait depuis informé certains clients.
Oracle a finalement admis avoir subi une violation de données importante, informant tranquillement certains clients de l’incident de sécurité quelques jours seulement après avoir été frappé par un recours collectif qui a accusé le géant de la technologie d’avoir tenté de cacher la brèche des utilisateurs touchés.
La reconnaissance de la société intervient après des semaines de refus et représente un changement important par rapport à sa position publique sur la question.
Admission d’Oracle dans les coulisses
Oracle a commencé à informer certains clients de certains clients de la violation de la cybersécurité dans laquelle un pirate a eu accès à un système contenant des informations d’identification de connexion du client, a rapporté Bloomberg mercredi soir. Il a indiqué que les données compromises comprenaient des noms d’utilisateur, des clés Passkeys et des mots de passe chiffrés.
Le FBI et la société de cybersécurité Crowdstrike enquêtent sur l’incident, a déclaré Oracle dans les communications privées, selon le rapport. Des sources familières avec l’affaire ont déclaré à Bloomberg que l’attaquant avait demandé un paiement d’extorsion de la société.
Oracle a tenté de minimiser la gravité de l’incident en décrivant le système compromis comme un «environnement hérité» qui n’avait pas été utilisé depuis huit ans. Cependant, une source familière avec la violation a contredit cette affirmation, disant à Bloomberg que les données volées incluaient les informations de connexion des clients Oracle depuis 2024.
Il s’agit du deuxième incident de cybersécurité que la société a reconnu ces derniers mois. Les sources de Bloomberg ont indiqué qu’Oracle a spécifié cette violation séparée d’une autre qu’elle avait divulguée à certains clients de la santé le mois dernier.
Le procès remet en question la réponse d’Oracle
Les rapports de la reconnaissance par Oracle de la violation surviennent quelques jours seulement après que la société a été frappée par un recours collectif sur sa gestion de la violation de la sécurité.
Le procès aborde spécifiquement une violation de sécurité majeure découverte en mars qui aurait compromis 6 millions d’enregistrements contenant des données sensibles liées à l’authentification d’Oracle Cloud Infrastructure, affectant potentiellement plus de 140 000 bases de données de locataires.
C’est intéressant car il cible directement Oracle, plutôt que les entreprises pour lesquelles le fournisseur de services de base de données tenait les données.
Déposé par Michael Toikach, résident de Floride au tribunal de district américain du district ouest du Texas, le procès accuse le géant de la technologie de l’entreprise pour ne pas obtenir d’informations privées détenues par ses clients et leur dissimuler la brèche.
« Oracle n’a pas informé le demandeur et les membres du classement s’il était en mesure de contenir ou de mettre fin à la menace de cybersécurité, laissant les victimes à craindre si les informations privées qu’Oracle continue de maintenir est sûre », affirme le procès.
La plainte, déposée par le cabinet d’avocats Shamis & Gentile, demande un procès avec jury et affirme qu’Oracle a violé les lois de l’État du Texas en n’ayant pas informé les victimes dans la fenêtre de 60 jours requise après avoir découvert la violation.
Selon le dossier du tribunal lundi, Oracle n’avait pas encore informé les clients affectés de l’incident ou fournir des détails sur la possibilité de garantir leurs données. « Toutes ces informations sont vitales pour les victimes d’une violation de données, et encore moins une de cette ampleur », a déclaré le procès.
Au-delà de la compensation financière, les demandeurs exigent qu’Oracle mette en œuvre des mesures de sécurité plus fortes pour empêcher les incidents futurs. Le procès souligne que les personnes touchées sont confrontées à un «risque accru de vol d’identité et de fraude pour les années à venir».
Implications de l’industrie et problèmes de sécurité
La contestation judiciaire ajoute une pression importante sur Oracle pendant une période de contrôle accru autour de la sécurité du cloud et de la confidentialité des données.
Les experts en sécurité avertissent que la violation sape fondamentalement les hypothèses de sécurité cloud. «Les clients du cloud étaient engagés dans une promesse de sécurité du fondement: l’isolement des locataires et la ségrégation contiennent des brèches», a déclaré Sunil Varkey, conseiller chez Beagle Security. « Cependant, un seul hack aurait exposé 6 millions de dossiers sur 140 000 locataires, et le fournisseur n’a même pas réalisé le compromis, brisant cette illusion. »
Varkey a en outre mis en évidence l’effet de «trou d’eau» créé par la brèche: «Un point de terminaison SSO vioché avec une clé principale n’est pas seulement une saisie de données; c’est un point d’eau parfait. Chaque locataire se connectait, des entreprises mondiales aux PME, devient la proie. Le pirate ne les poursuit pas; ils viennent au piège.»
La société de renseignement sur les menaces CloudSek a d’abord signalé la violation, identifiant un pirate vendant six millions de disques qui prétendument exfiltrés à partir des systèmes de protocole d’accès au répertoire léger (LDAP) d’Oracle Cloud. Les chercheurs en sécurité ont lié l’attaque à CVE-2021-35587, une vulnérabilité de Oracle Access Manager a précédemment signalé par l’Agence de sécurité de la cybersécurité et des infrastructures (CISA) en tant que faiblesse connu exploitée.
Les professionnels de la sécurité avertissent que les organisations doivent repenser leurs stratégies de sécurité cloud à la lumière de cet incident. « L’hypothèse précédente selon laquelle l’adoption du cloud garantit la réduction des coûts et la résilience est maintenant remise en question, car de tels incidents ont le potentiel de faire tomber des environnements entiers », a ajouté Varkey.
Déclats de change d’Oracle
Les admissions privées d’Oracle aux clients contrastent fortement avec ses refus publics antérieurs. La société a initialement déclaré: «Il n’y a pas eu de violation d’Oracle Cloud. Les informations d’identification publiées ne sont pas pour le cloud Oracle. Aucun client d’Oracle Cloud n’a subi une violation ou n’a perdu aucune donnée.»
Les experts en sécurité ont critiqué la réponse en crise d’Oracle. « Garder le silence ou nier une violation ou une vulnérabilité potentielle dans leur écosystème est contraire à l’éthique et un crime », a déclaré Varkey. «Les parties prenantes font aveuglément confiance à leur fournisseur de cloud, et lorsque les faits sont supprimés, les locataires exposés et leurs chaînes d’approvisionnement sont confrontés à un impact en cascade sur le terrain numérique à l’échelle mondiale.»
Avec une action en justice en cours et des enquêtes supplémentaires attendues, l’affaire pourrait avoir des implications plus larges pour la responsabilité des fournisseurs de cloud et la conformité réglementaire dans le paysage de la cybersécurité.
Oracle n’a pas reconnu publiquement les violations et de nouvelles demandes de renseignements à la société restent sans réponse.
