La Réponse d'Oracle aux Violations de Données Soulève des Préoccupations en Matière de Transparence

31/03/2025 Sécurité

Le géant technologique Oracle est confronté à un examen minutieux de sa gestion de deux fuites de données distinctes, soulevant de sérieuses questions sur la transparence et la communication avec les clients. Une fuite concerne Oracle Health, sa filiale de soins de santé, tandis que l'autre concerne les serveurs Oracle Cloud. Malgré les preuves de plus en plus nombreuses, la réponse d'Oracle a été accueillie avec scepticisme et des appels à une plus grande responsabilité.

La Fuite d'Oracle Health Expose les Données des Patients

La fuite la plus récente concerne Oracle Health, qui intègre les dossiers de santé électroniques de Cerner. Des rapports indiquent que des pirates ont accédé aux serveurs d'Oracle, volant potentiellement des données sensibles sur les patients. Bien que l'étendue exacte et les organisations touchées restent floues, Oracle aurait informé certains clients du secteur de la santé en mars de l'incident, qui s'est produit vers le 20 février 2025.

Selon Bleeping Computer, la notification indiquait qu'un accès non autorisé avait été obtenu aux données de Cerner sur un ancien serveur qui n'avait pas encore été migré vers Oracle Cloud. De manière inquiétante, des rapports suggèrent que des pirates tentent d'extorquer les hôpitaux touchés, exigeant des sommes d'argent importantes.

Préoccupations Internes et Manque de Transparence

Un employé anonyme d'Oracle a révélé un manque de transparence interne concernant les fuites. L'employé a déclaré que son équipe n'avait pas pu accéder aux environnements des clients pendant plusieurs jours et a exprimé son inquiétude quant à l'accès potentiel aux données sensibles, notamment les informations sur les RH et les finances. L'employé s'est également senti "super ignoré" et a dû s'appuyer sur des sources externes, telles que Reddit et les canaux Slack internes, pour obtenir des informations.

Fuite d'Oracle Cloud: Déni et Scepticisme

La deuxième fuite concerne les serveurs Oracle Cloud, où un pirate a offert des données de 6 millions de clients Oracle Cloud, y compris des données d'authentification et des mots de passe chiffrés. Le pirate a même fourni une preuve en hébergeant un fichier texte sur un serveur Oracle Cloud. Malgré les confirmations des clients d'Oracle que les échantillons de données partagés semblaient authentiques, Oracle a nié toute fuite d'Oracle Cloud.

Ce déni a été accueilli avec de vives critiques de la part d'experts en cybersécurité. Kevin Beaumont, un expert en cybersécurité, a affirmé qu'Oracle utilisait une formulation spécifique pour éviter toute responsabilité et a appelé à une communication claire, ouverte et publique sur l'incident et son impact sur les clients.

Avis d'Experts et Appels à la Responsabilité

L'experte en cybersécurité Lisa Forte a fait écho à ces préoccupations, déclarant que si la fuite était confirmée, ce serait une "très, très mauvaise image" pour Oracle. La situation souligne l'importance de la transparence et de la responsabilité face aux incidents de cybersécurité. Comme l'a dit Beaumont, il est temps pour Oracle de "se ressaisir" et de répondre à ces préoccupations, sous peine de perdre la confiance de ses clients.