Cyber threats
Barometer

Fin mars, la société Oracle a reconnu auprès de ses clients avoir été la cible de deux cyberattaques distinctes ayant toutes deux conduits à des fuites de données sensibles.

La première attaque, détectée le 20 février 2025, a touché des serveurs de migration de données Oracle Health hérités de l’éditeur Cerner, acquis par Oracle en 2022. Ces systèmes, non migrés vers Oracle Cloud Infrastructure et supposés inactifs, contenaient toujours des copies de données dans le cadre d’opérations de transfert. Selon Oracle, des identifiants clients compromis ont été utilisés pour accéder à ces serveurs dès le 22 janvier. Une extraction de données a alors été opérée vers une infrastructure distante. Plusieurs prestataires de soins américains sont concernés. En France, les CHU de Rouen, Caen et Amiens ont été alertés. Une enquête a été ouverte par le FBI, en lien avec cet incident, notamment en raison de tentatives d’extorsion signalées par certaines structures hospitalières. Oracle a confirmé que les clients concernés étaient informés, mais qu’elle ne contacterait pas directement les patients.

La seconde attaque concerne une revendication émise le 20 mars par un acteur malveillant se faisant appeler « rose87168 », affirmant avoir compromis un environnement Oracle Cloud. L’individu a publié un échantillon de 6 millions d’enregistrements, incluant des identifiants chiffrés, des adresses email professionnelles, des noms d’utilisateurs et des noms d’entreprise. Ces données seraient liées à environ 140 000 clients. Bien qu’Oracle n’ait pas confirmé l’origine ni la portée exacte de cette fuite, plusieurs entreprises affectées ont reconnu l’authenticité partielle des informations divulguées. A ce stade, aucune certitude concernant le point d’entrée initial, bien que l’exploitation de la vulnérabilité CVE-2021-35587 ait été évoquée. Une enquête a également été ouverte par le FBI, en coordination avec des experts en cybersécurité, afin de déterminer les circonstances exactes de la compromission.

Ces deux événements, bien que différents dans leur nature et leurs vecteurs d’intrusion, mettent en évidence des expositions multiples, touchant à la fois des environnements cloud opérationnels et des infrastructures héritées. Ils rappellent l’importance stratégique de la surveillance et de la sécurisation continue des actifs vieillissants, souvent négligés mais toujours accessibles.

Un système hérité (legacy environment) désigne une application, une infrastructure ou un composant technologique ancien, toujours utilisé en production, mais souvent non compatible avec les exigences modernes de sécurité, de maintenance ou d’interopérabilité.

Ces systèmes peuvent reposer sur des technologies obsolètes, ne plus être supportés par leurs éditeurs, ou ne pas pouvoir recevoir de correctifs de sécurité. Leur maintien opérationnel s’explique généralement par des contraintes métier ou techniques, mais ils représentent une potentielle surface d’attaque.

Malwares, vulnérabilités critiques, attaques persistantes avancées, secteurs particulièrement visés, signaux faibles de menaces émergentes… Ce n’est un secret pour personne, la connaissance de son environnement cyber est un facteur clé pour la sécurité d’une entreprise. Le Cyber Threats Barometer vous donne chaque mois mais un aperçu des menaces cyber détectées lors des trente derniers jours par Gatewatcher CTI, notre plateforme de Cyber Threat Intelligence.

Les moteurs automatisés de collecte, d’analyse et de corrélation de Gatewatcher CTI sont alimentés en permanence par plus de quatre milles sources de données provenant de multiples canaux : réseaux sociaux, sites spécialisés, dark et deep web. Ils permettent de rendre accessibles les informations sur les menaces 24 heures en moyenne avant la concurrence et facilitent la prise de décision des équipes opérationnelles en réduisant fortement leurs temps d’analyse et de réaction en cas d’incident.