Skip to content

Fuite chez Oracle Cloud

Fin mars 2025, un acteur malveillant connu sous le pseudonyme « rose87168 » a affirmé avoir dérobé environ 6 millions d'enregistrements d'authentification depuis un serveur SSO/LDAP d'Oracle Cloud, touchant potentiellement plus de 140 000 locataires ; Oracle a d'abord nié toute fuite avant de confirmer une compromission en privé à ses clients.

Victime
Oracle Cloud
données
6.0M

Le 27 mars 2025, Oracle Cloud — la plateforme cloud d'entreprise d'Oracle — s'est retrouvée au cœur d'une fuite contestée après qu'un acteur malveillant utilisant le pseudonyme rose87168 a mis en vente environ 6 millions d'enregistrements d'authentification, affirmant les avoir dérobés depuis un serveur d'authentification unique fédérée (SSO) d'Oracle Cloud. Les données provenaient d'un point d'accès de connexion compromis (login.us2.oraclecloud.com) et exposaient des éléments d'authentification appartenant à un grand nombre de locataires (tenants) d'entreprise.

L'intrusion a été attribuée à l'exploitation de la faille CVE-2021-35587, une vulnérabilité critique de prise de contrôle à distance sans authentification dans Oracle Access Manager. Le sous-domaine concerné exécutait une version obsolète et non corrigée d'Oracle Fusion Middleware 11G — un maillon faible isolé sur l'infrastructure SSO d'Oracle elle-même, exposant en aval les locataires connectés.

Les catégories de données exposées comprenaient notamment :

  • Identifiants SSO et LDAP chiffrés
  • Fichiers Java KeyStore (JKS)
  • Clés JPS (Java Platform Security) d'Enterprise Manager
  • Éléments de clés d'authentification et de locataires

CloudSEK, qui a révélé l'annonce en premier, a estimé que plus de 140 000 locataires pourraient être touchés. Oracle a publiquement nié toute compromission d'Oracle Cloud, mais plusieurs clients ont confirmé que les échantillons partagés par l'attaquant étaient authentiques, et Oracle a ensuite reconnu la compromission en privé auprès des clients concernés début avril 2025. Le point d'accès exposé a été mis hors ligne, et l'acteur malveillant a cherché à extorquer les organisations touchées en échange de la suppression des données.

Sources

  1. lemondeinformatique.frhttps://www.lemondeinformatique.fr/actualites/lire-des-clients-confirment-la-fuite-de-donnees-oracle-cloud-96454.html
  2. cloudsek.comhttps://www.cloudsek.com/blog/the-biggest-supply-chain-hack-of-2025-6m-records-for-sale-exfiltrated-from-oracle-cloud-affecting-over-140k-tenants
  3. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/oracle-customers-confirm-data-stolen-in-alleged-cloud-breach-is-valid/
  4. cybersecuritydive.comhttps://www.cybersecuritydive.com/news/researchers-oracle-cloud-breach/743447/

Incidents liés