Oracle s’empêtre dans des soupçons de fuites de données liées à son cloud et à son offre santé

Circulez y'a rien à voir

Depuis dix jours, un pirate affirme détenir un jeu de données de 6 millions de lignes relatives à des clients Oracle, suite à une intrusion sur les serveurs d'authentification de l'éditeur. En dépit des allégations concordantes de plusieurs experts en cybersécurité, la société nie avoir été victime d'un piratage. Pendant que des clients inquiets déclenchent un recours collectif visant Oracle en justice, un second incident de cybersécurité, lié cette fois à Oracle Health, déclenche une enquête du FBI...

Alexandre Laurent

Le 01 avril à 18h00

6 min

Sécurité

Un internaute de Floride a lancé lundi un recours collectif contre Oracle, au motif que l'éditeur n'aurait pas correctement réagi suite à une intrusion dans ses systèmes informatiques. La procédure, enregistrée le 31 mars auprès d'un tribunal du Texas (PDF), accuse Oracle d'avoir fait preuve de négligence, mais aussi d'avoir manqué à son devoir fiduciaire. De quoi motiver, d'après le plaignant, le versement de copieux dommages et intérêts, comme souvent en pareille affaire.

Une brèche de sécurité à 6 millions de lignes

Derrière cette procédure, qui pourrait paraître anecdotique au pays de la class action, réside un incident de sécurité dont l'ampleur exacte reste à déterminer. L'affaire démarre le 20 mars dernier, avec la publication, sur un forum spécialisé, d'une annonce proposant à la vente un fichier soi-disant composé des données de 6 millions d'utilisateurs des services d'authentification (SSO) et d'annuaires (LDAP) du cloud public d'Oracle.

Le pirate, qui affirme par ailleurs avoir mis la main sur des clés privées, des certificats et des mots de passe, publie la liste des sociétés clientes dont il détiendrait des données, et met en ligne un échantillon supposé de son larcin.

Dès le lendemain, Oracle nie toute brèche de sécurité, en des termes catégoriques. « Les informations d'identification publiées ne concernent pas Oracle Cloud. Aucun client Oracle Cloud n'a subi de violation ni perdu de données », affirme un porte-parole de l'éditeur au site The Register. En réponse, le pirate se vante d'avoir réussi à placer un fichier texte contenant son adresse e-mail sur un serveur de connexion Oracle Cloud. Il présente, en guise de preuve, un enregistrement du fichier réalisé par l'intermédiaire de la Wayback Machine, daté du 1ᵉʳ mars.

Il reste 67% de l'article à découvrir.

Déjà abonné ? Se connecter

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (8)

Arcy Abonné

Modifié le 01/04/2025 à 18h36

La solution est pourtant simple : dégager Oracle de l'équation, confier les données à Elon qui, avec son expertise reconnue dans l'acquisition et le traitement des données, est le plus apte à les détenir et les gérer.
Après tout, il y a eu des plaintes suite au rachat de Twitter ?

janvi Abonné

Le 02/04/2025 à 08h32

Ils voulaient pas créer une db unique pour l'ensemble des données du gouvernement us ?!

Alexandre Laurent Équipe

Le 02/04/2025 à 08h37

Si si

Cortomatt Abonné

Le 02/04/2025 à 09h03

moins de piratage... un seul suffit

aureus Abonné

Modifié le 02/04/2025 à 09h38

J'ai vu la news sur zataz et pareil que pour cette news j'arrive pas à savoir si on parle uniquement des données de connexions aux sites oracle (probablement par des administrateurs, dev, ingé...) ou des données utilisateurs tiers qui s'authentifierait à des services tiers (non liés à oracle).

ragoutoutou Abonné

Le 02/04/2025 à 11h44

Oracle est une entreprise que je n'arrive plus à prendre au sérieux depuis des années...

Leur culture du secret autour de la sécurité et des performances ont toujours été pour moi un élément disqualifiant, tout particulièrement pour les migrations vers le cloud, surtout quand on commence à parler d'engagement et de responsabilité.

Ce n'est pas une entreprise capable d'assumer les services qu'elle vend.

fdorin Abonné

Le 02/04/2025 à 22h11

Ce n'est pas pour rien que l'on ne voit quasiment pas de benchmark de sa base de données éponyme. Cf. DeWitt clause, qui interdit la publication de benchmark sans l'aval d'Oracle avant.

Si Oracle était si sur des performances de sa BD, on verrait des benchmarks ^^

ragoutoutou Abonné

Modifié le 03/04/2025 à 16h37

Yep.... on ne fait pas plus opaque... et puis leur offre de cloud, quelle misère, quel manque de professionalisme. Il y a quelques temps j'ai dû faire une étude pour un client qui voulait passer ses kubernetes dans le cloud, et Oracle était un gros fournisseur de ce client.... le kubernetes tel que livré par Oracle dans ce contexte était à pisser de rire... je veux dire, pour un labo pour débutants sur raspberry pi je dis pas, mais pour des grandes entreprises, c'est tellement médiocre, dépourvu et mal supporté, genre "je vous vend la voiture mais pour les freins nous ne fournissons qu'une ancre de navire, mais si vous installez vous-mêmes vos freins on devrait pouvoir vous supporter... peut-être..."