Si « Big Red » se voulait convaincant, c’est raté. La semaine dernière, Oracle, ce géant du cloud qui pesait 53 milliards de dollars de chiffre d’affaires en 2024, a tenté d’éteindre la polémique autour de son prétendu piratage. Mais en vain. Dans des messages électroniques adressés à ses clients, la firme dirigée par Lawrence Ellison et Safra Catz assurait pourtant vouloir « affirmer sans équivoque » l’absence de faille de sécurité dans Oracle Cloud ou Oracle Cloud Infrastructure (OCI).
Pour rappel, le 20 mars, un certain rose87168 avait revendiqué sur le forum de fuites de données BreachForums le piratage de serveurs d’Oracle. Ce dernier affirmait alors avoir mis la main sur des données relatives à six millions de clients, dont des mots de passe. Un peu plus tard, le pirate avait expliqué à Bleeping computer avoir réussi à obtenir un accès frauduleux dans le courant du mois de février.
Pour la société Cybel Angel, l’attaquant s’est sans doute introduit courant janvier dans la base de données Oracle Identity and Access Management (IDM). Un hack obtenu grâce à l’utilisation d’un exploit Java de 2020, « qui a permis au pirate d’installer un webshell et un logiciel malveillant », poursuit l’entreprise.
Aucun piratage d’OCI
A l’époque, Oracle avait contesté tout piratage, une position confirmée la semaine dernière. « Aucun environnement client OCI n’a été piraté, aucune donnée client OCI n’a été consultée ou volée ». Et « aucun service OCI n’a été interrompu ou compromis de quelque manière que ce soit », martelait l’entreprise dans son message à ses clients.
Quant aux mots de passe que le pirate aurait réussi à obtenir, ils étaient chiffrés ou hachés, et donc inexploitables. Le hacker malveillant « n’a donc pas pu accéder » à des environnements ou des données des clients, en concluait Oracle. Le pirate avait également remarqué le chiffrement des mots de passe, tout en jugeant de son côté que leur déchiffrement était possible.
Après ce démenti, Oracle a toutefois reconnu ensuite – et c’est là que le bât blesse – qu’un pirate informatique avait bien « accédé à des noms d’utilisateur provenant de deux serveurs obsolètes ». Mais ces deux serveurs, poursuivaient l’entreprise, ne faisaient pas partie d’Oracle Cloud Infrastructure.
Réponse médiocre
Une façon de jouer sur les mots entre l’environnement OCI et ses services Oracle Classic, un terme renvoyant en fait à ses anciens services « Oracle Cloud », a aussitôt taclé le chercheur en sécurité Kevin Beaumont. C’est une « réponse exceptionnellement médiocre pour une entreprise qui gère des données extrêmement sensibles », déplorait-il sur le réseau professionnel LinkedIn.
Et de pointer par exemple l’absence d’explications sur le tempo de l’attaque dans la solution SaaS.
« Les lettres de notification d’une violation de données ne commencent pas en disant qu’il n’y a pas eu de violation », ironisait également un autre expert de la cybersécurité. Le drama autour du piratage d’Oracle semble parti pour durer.