Un fournisseur de services cloud populaire a été victime d'une cyberattaque sophistiquée la semaine dernière. Les hackers ont réussi à accéder à des données sensibles, notamment des informations financières et personnelles de milliers d'entreprises à travers le monde. L'enquête est en cours et l'entreprise a mis à jour ses mesures de sécurité.

Une cyberattaque d’envergure a récemment visé Oracle Cloud, exposant environ 6 millions d’enregistrements utilisateurs, selon les rapports publiés en mars mais rendus publics ces dernières semaines.

🔍 Ce que l’on sait

• Un acteur malveillant connu sous le pseudonyme “rose87168” affirme avoir compromis l’endpoint de connexion SSO d’Oracle Cloud, dérobant des données critiques provenant de systèmes d’authentification LDAP et SSO Cybersecurity Dive+5CloudSek+5Bright Defense+5.

• Les informations volées incluent :

  • Clés Java KeyStore (JKS)

  • Identifiants chiffrés via l’authentification unique

  • Fichiers clés et données d’entreprise sensibles Cybersecurity Dive+2Reuters+2Tech.co+2Houston Chronicle+9CloudSek+9Bright Defense+9

• Impact estimé : plus de 140 000 entreprises utilisatrices potentiellement visées .

Oracle a initialement nié les faits, mais des analyses de terrain corroborent les affirmations .

🛡️ Pourquoi c’est grave

• L’attaque cible la SSO, point central d’authentification pour de multiples applications professionnelles : une fois compromise, l’attaquant peut potentiellement s’ouvrir un accès lateral à de nombreux services.

• Les clés et identifiants récupérés peuvent être exploités pour usurper des sessions et compromettre des infrastructures connectées internes.

• L’incident illustre les limites du modèle de «Responsabilité partagée» du cloud, soulignant que même les grands fournisseurs peuvent être vulnérables Apple News+8netsec.news+8Bright Defense+8runtime.news+1Cybersecurity Dive+1.

⚠️ Conséquences et recommandations

Pour les entreprises clientes d’Oracle Cloud :

• Révoquer et réémettre immédiatement toutes les clés JKS et certificats SSO.

• Forcer la réinitialisation des mots de passe et sessions active.

• Redéfinir les accès LDAP/SSO, en limitant les privilèges au strict minimum.

• Auditer les connexions récentes pour détecter toute activité anormale.

• Activer des dispositifs de surveillance et alertes sur les endpoints sensibles.

Pour tous les fournisseurs cloud :

• Renforcer le contrôle et la vérification de la configuration des endpoints d’authentification.

• Appliquer un gestionnaire de clés robuste avec rotation régulière.

• Renforcer la formation sur la sécurité SSO et la supervision des infra sensibles.

🔎 En résumé

Un hack ciblant SSO et LDAP d’Oracle Cloud a permis le vol de 6 millions de données critiques, touchant potentiellement des dizaines de milliers d’entreprises. Ce nouvel incident rappelle que la sécurité dans le cloud commence bien avant le stockage des données : elle repose sur des mécanismes d’authentification solides et correctement gérés.

Nous continuons à suivre la situation et mettrons à jour cet article dès que des détails supplémentaires seront disponibles (confirmation Oracle, retours d’enquête, mesures de remédiation spécifiques…).