Imaginez : vous confiez les clés de votre entreprise — identifiants, mots de passe, données clients — à un géant du cloud. Et un beau matin, un inconnu les met en vente sur un forum de hackers. C’est exactement ce qui vient d’arriver aux 140 000 entreprises clientes d’Oracle Cloud. Le pire ? Oracle a passé des semaines à nier l’évidence avant de reconnaître — à demi-mot — avoir été piraté.

Un hacker, 6 millions de données et un forum criminel

L’affaire démarre le 20 mars, quand un pirate se faisant appeler « rose87168 » publie une annonce fracassante sur BreachForums, le supermarché du dark web. Il affirme avoir pénétré les serveurs cloud d’Oracle et propose à la vente 6 millions d’enregistrements volés, incluant des identifiants SSO (authentification unique) et LDAP (annuaire d’entreprise). Les données toucheraient plus de 140 000 tenants — autrement dit, 140 000 organisations clientes du géant américain.

Le hacker ne se contente pas de vendre : il contacte directement Oracle via son adresse de sécurité, expliquant avoir découvert une « vulnérabilité massive » donnant accès aux informations de 6 millions d’utilisateurs. Il sollicite également les entreprises victimes, réclamant des paiements en cryptomonnaie en échange de la suppression de leurs données.

Trois semaines de déni orchestré

Face à ces révélations, la réaction d’Oracle a stupéfait la communauté cybersécurité. Le géant a immédiatement et catégoriquement nié toute brèche, déclarant qu’aucun serveur Oracle Cloud Infrastructure (OCI) n’avait été compromis. Problème : les chercheurs en sécurité de CloudSEK ont rapidement confirmé l’authenticité des données volées après vérification auprès de clients concernés.

« Oracle nie que c’est sur “Oracle Cloud” en jouant sur la définition — mais ce sont bien des services cloud Oracle, gérés par Oracle. C’est du jeu de mots. »

Ce commentaire cinglant d’un expert résume la stratégie d’Oracle : la brèche concernerait Oracle Cloud Classic, une ancienne version de sa plateforme, et non Oracle Cloud Infrastructure, sa plateforme actuelle. Une distinction technique que les spécialistes qualifient de « wordplay » — un habillage sémantique pour éviter d’admettre la réalité.

Ce n’est que le 7 avril, plus de deux semaines après la révélation publique, qu’Oracle commence à envoyer des notifications écrites à ses clients, reconnaissant qu’un pirate a accédé à « deux serveurs obsolètes » contenant des noms d’utilisateurs et des mots de passe. Mais l’entreprise maintient que les mots de passe étaient chiffrés ou hachés, et donc « inutilisables ».

Des données bien réelles — et récentes

Les affirmations d’Oracle selon lesquelles il ne s’agirait que de « vieilles données sans valeur datant de 2017 » ont été directement contredites par les faits. Le pirate a partagé avec le site BleepingComputer des enregistrements datant de fin 2024 et de 2025, puis a publié des données plus récentes sur BreachForums. Plusieurs entreprises clientes d’Oracle ont confirmé — sous couvert d’anonymat — que les noms, adresses e-mail et autres informations d’identification étaient authentiques et à jour.

Plus inquiétant encore : la brèche cloud s’ajoute à un second incident touchant Oracle Health, la filiale santé du groupe. Selon les informations disponibles, un attaquant se faisant appeler « Andrew » extorque des hôpitaux en réclamant des millions de dollars en cryptomonnaie pour ne pas diffuser les données de patients volées. Jusqu’à 80 établissements hospitaliers pourraient être affectés.

Le CISA tire la sonnette d’alarme

Face à l’inaction d’Oracle en matière de communication, c’est l’agence américaine de cybersécurité CISA qui a pris les devants en publiant un guide de recommandations. Ses préconisations sont claires :

  • Réinitialisez immédiatement les mots de passe de tous les utilisateurs potentiellement affectés, y compris ceux qui ne passent pas par une fédération d’identité.
  • Traquez les identifiants codés en dur dans vos scripts, fichiers de configuration, modèles d’infrastructure et outils d’automatisation — et remplacez-les par des méthodes d’authentification sécurisées.
  • Surveillez les journaux d’authentification pour détecter toute activité anormale, en particulier sur les comptes à privilèges et les comptes de service.
  • Activez l’authentification multi-facteurs (MFA) partout où c’est possible, avec des méthodes résistantes au phishing.

Le CISA souligne un risque particulièrement sournois : même si les mots de passe sont chiffrés, les attaquants peuvent les croiser avec des données d’anciennes fuites pour tenter de les déchiffrer ou de les réutiliser. Les identifiants « embarqués » dans du code sont aussi un vecteur d’accès durable et difficile à détecter.

Un cabinet d’avocats de Pittsburgh, Lynch Carpenter LLC, a d’ores et déjà lancé une enquête en vue d’un recours collectif contre Oracle, estimant que les clients affectés pourraient avoir droit à des compensations.

Ce que cela change pour votre PME

Même si votre entreprise n’utilise pas directement Oracle Cloud, cette affaire illustre un scénario de plus en plus fréquent : votre fournisseur cloud se fait pirater, et c’est vous qui êtes exposé. Des identifiants volés chez un prestataire peuvent ouvrir la porte à vos propres systèmes, surtout si vous réutilisez des mots de passe ou si des identifiants sont codés en dur dans vos applications.

L’autre leçon majeure concerne la transparence. Quand un éditeur passe trois semaines à nier une brèche que tout le monde a sous les yeux, il prive ses clients d’un temps précieux pour se protéger. Avant de choisir un prestataire cloud, demandez-vous : quelle est sa politique en cas d’incident ? Comment et quand sera-t-il tenu de vous prévenir ?

À retenir

  • Un hacker a volé 6 millions d’enregistrements sur les serveurs Oracle Cloud, affectant potentiellement 140 000 organisations dans le monde.
  • Oracle a nié la brèche pendant plus de deux semaines avant de reconnaître un piratage sur des serveurs « obsolètes » — une distinction sémantique critiquée par les experts.
  • Les données volées incluent des identifiants SSO et LDAP, des mots de passe chiffrés et des informations personnelles confirmées comme authentiques par des clients.
  • Le CISA recommande de réinitialiser les mots de passe, de supprimer les identifiants codés en dur et d’activer le MFA immédiatement.
  • Un second incident touche Oracle Health, avec des données de patients d’hôpitaux volées et une extorsion en cours.
  • Un recours collectif est en préparation contre Oracle pour sa gestion jugée défaillante de l’incident.

Photo : Tima Miroshnichenko via Pexels