Circulez y'a rien à voir
Image may be NSFW.Clik here to view.
Depuis dix jours, un pirate affirme détenir un jeu de données de 6 millions de lignes relatives à des clients Oracle, suite à une intrusion sur les serveurs d’authentification de l’éditeur. En dépit des allégations concordantes de plusieurs experts en cybersécurité, la société nie avoir été victime d’un piratage. Pendant que des clients inquiets déclenchent un recours collectif visant Oracle en justice, un second incident de cybersécurité, lié cette fois à Oracle Health, déclenche une enquête du FBI…
Un internaute de Floride a lancé lundi un recours collectif contre Oracle, au motif que l’éditeur n’aurait pas correctement réagi suite à une intrusion dans ses systèmes informatiques. La procédure, enregistrée le 31 mars auprès d’un tribunal du Texas (PDF), accuse Oracle d’avoir fait preuve de négligence, mais aussi d’avoir manqué à son devoir fiduciaire. De quoi motiver, d’après le plaignant, le versement de copieux dommages et intérêts, comme souvent en pareille affaire.
Une brèche de sécurité à 6 millions de lignes
Derrière cette procédure, qui pourrait paraître anecdotique au pays de la class action, réside un incident de sécurité dont l’ampleur exacte reste à déterminer. L’affaire démarre le 20 mars dernier, avec la publication, sur un forum spécialisé, d’une annonce proposant à la vente un fichier soi-disant composé des données de 6 millions d’utilisateurs des services d’authentification (SSO) et d’annuaires (LDAP) du cloud public d’Oracle.
Le pirate, qui affirme par ailleurs avoir mis la main sur des clés privées, des certificats et des mots de passe, publie la liste des sociétés clientes dont il détiendrait des données, et met en ligne un échantillon supposé de son larcin.
Dès le lendemain, Oracle nie toute brèche de sécurité, en des termes catégoriques. « Les informations d’identification publiées ne concernent pas Oracle Cloud. Aucun client Oracle Cloud n’a subi de violation ni perdu de données », affirme un porte-parole de l’éditeur au site The Register. En réponse, le pirate se vante d’avoir réussi à placer un fichier texte contenant son adresse e-mail sur un serveur de connexion Oracle Cloud. Il présente, en guise de preuve, un enregistrement du fichier réalisé par l’intermédiaire de la Wayback Machine, daté du 1ᵉʳ mars.
