Le 21 mars 2025, des chercheurs en sécurité ont identifié un acteur malveillant, opérant sous l’alias rose87168, qui tentait de vendre plus de six millions d’enregistrements prétendument exfiltrés des services Single Sign-On (SSO) et LDAP de l’infonuage Oracle Cloud. Cette brèche est soupçonnée de provenir d’une vulnérabilité au sein de l’infrastructure de connexion de login.(region-name).oraclecloud.com.
Les données exposées comprendraient des mots de passe cryptés, des fichiers clés, des informations d’identification de gestionnaire d’entreprise et des informations de configuration sensibles. Plus de 140 000 locataires pourraient être concernés.
Pourquoi cette brèche est différente
Contrairement aux incidents impliquant des magasins de données isolés, cette brèche frappe au cœur de l’infrastructure d’identité et d’accès, un domaine où les compromis peuvent se répercuter sur les plateformes infonuagiques, les systèmes internes et les relations avec les fournisseurs. Les organisations qui n’utilisent pas directement Oracle Cloud peuvent toujours être exposées par l’entremise de services tiers connectés.
Les principales préoccupations comprennent :
- Accès non autorisé au moyen d’identifiants SSO compromis
- Voies d’escalade via les configurations LDAP exposées
- Risques liés à la chaîne d’approvisionnement liés aux partenaires utilisant l’infrastructure Oracle
Ce que les organisations devraient faire maintenant
Même si votre organisation n’utilise pas directement Oracle Cloud, vous pourriez toujours être concerné. Nous recommandons les actions suivantes :
- Réinitialiser les mots de passe LDAP, en mettant l’accent sur les comptes privilégiés
- Activer l’authentification multifactorielle (MFA) sur les systèmes infonuagiques et internes
- Remplacer les méthodes d’authentification héritées comme les hachages SASL/MD5
- Faire pivoter les informations d’identification, les jetons et les certificats liés aux services liés à Oracle
- Communiquez avec le soutien Oracle pour confirmer l’état d’exposition de votre locataire
- Vérifier les journaux d’accès remontant à janvier 2025 pour toute activité anormale
Les indicateurs d’exposition du public peuvent également être consultés ici :
https://exposure.cloudsek.com/oracle
L’approche de GoSecure
Chez GoSecure, nous croyons qu’une réponse efficace en matière de cybersécurité repose sur une action mesurée et non sur une réaction immédiate. Depuis que cette brèche a été constatée pour la première fois, nous avons :
- Surveillez des indicateurs de compromission dans les environnements clients
- Corrélezdes renseignements sur les menaces externes avec la télémétrie interne
- Validez des risques d’exposition liés aux systèmes d’identité et d’authentification
Notre centre des opérations de sécurité (SOC) et nos équipes de renseignement sur les menaces ont pris des mesures pour assurer la protection de nos clients à mesure que de nouveaux détails techniques émergent.
Se préparer aux menaces axées sur l’identité
Cette brèche met en évidence une tendance plus large : l’infrastructure d’identité est maintenant une cible de choix pour les attaquants. À mesure que les organisations élargissent leur empreinte infonuagique et leurs écosystèmes de fournisseurs, la préparation à la réponse devient essentielle.
GoSecure accompagne ses clients à travers :
- Des manuels de menaces pour les brèches de la chaîne d’approvisionnement et d’identité
- Des évaluations de la préparation aux brèches adaptées à des scénarios réels
- Des exercices sur table qui testent la détection, la prise de décision et l’escalade
Comment GoSecure peut vous aider
Même si votre organisation n’a pas été directement touchée par cette brèche, cela nous rappelle à point nommé que les systèmes d’identité sont une cible croissante et qu’un seul faux pas dans votre infrastructure d’accès peut se répercuter sur l’ensemble de votre écosystème numérique.
Si votre équipe cherche à renforcer ses défenses, GoSecure propose :
Détection et réponse gérées étendues (MXDR)
MXDR GoSecure TitanMC offre une surveillance 24h/24 et 7j/7, des alertes en temps réel et une recherche proactive des menaces sur les couches de terminaux, de réseau et d’identité. Nos analystes SOC surveillent en permanence les types d’anomalies et de modèles d’accès que des brèches comme celle-ci ont tendance à déclencher.
Surveillance du Web caché
Notre équipe du renseignement sur les menaces surveille activement les forums du Web caché, les marchés et les vidages de brèches à la recherche d’informations d’identification divulguées, de métadonnées exposées et d’indicateurs au niveau du domaine liés à votre organisation. Cela permet de fournir une alerte précoce et de prioriser les efforts de réponse.
Évaluation préparatoire en cas d’incident
Comment votre équipe réagirait-elle à une brèche comme celle-là ? Nos évaluations préparatoires en cas d’incident sont des évaluations structurées et basées sur des scénarios qui testent la capacité de votre organisation à réagir efficacement sous pression. Du confinement et de l’enquête à la communication avec les intervenants et à la prise de décisions, nous vous aidons à identifier les lacunes, à clarifier les rôles et à renforcer la confiance avant qu’un incident réel ne se produise.
En savoir plus
Lorsque les systèmes d’identité et d’accès sont attaqués, la visibilité et la préparation font toute la différence. GoSecure offre des services proactifs et basés sur le renseignement pour aider les organisations à détecter, répondre et se remettre des cybermenaces modernes.
- Découvrez MXDR GoSecure TitanMC – Bénéficiez d’une détection et d’une réponse complètes aux menaces sur les couches de terminaux, de réseau, de nuage et d’identité. Consultez notre fiche technique MXDR GoSecure TitanMC pour en savoir plus.
- Évaluez votre préparation à la réponse aux incidents – Préparez votre équipe avec des évaluations structurées et basées sur des scénarios qui simulent des conditions de brèches réelles. Consultez notre fiche technique sur les services d’évaluation préparatoire en cas d’incident de GoSecure pour en savoir plus.
Que vous cherchiez à valider votre exposition, à perfectionner vos capacités de détection ou à tester votre plan de réponse, GoSecure peut vous aider. Pour en savoir plus, visitez gosecure.ai/fr ou contactez-nous directement.
CAS D'UTILISATION
Cyberrisques
Mesures de sécurité basées sur les risques
Sociétés de financement par capitaux propres
Prendre des décisions éclairées
Sécurité des données sensibles
Protéger les informations sensibles
Conformité en matière de cybersécurité
Respecter les obligations réglementaires
Cyberassurance
Une stratégie précieuse de gestion des risques
Rançongiciels
Combattre les rançongiciels grâce à une sécurité innovante
Attaques de type « zero-day »
Arrêter les exploits de type « zero-day » grâce à une protection avancée
Consolider, évoluer et prospérer
Prenez de l'avance et gagnez la course avec la Plateforme GoSecure TitanMC.
24/7 MXDR
Détection et réponse sur les terminaux GoSecure TitanMC (EDR)
Antivirus de nouvelle génération GoSecure TitanMC (NGAV)
Surveillance des événements liés aux informations de sécurité GoSecure TitanMC (SIEM)
Détection et réponse des boîtes de messagerie GoSecure TitanMC (IDR)
Intelligence GoSecure TitanMC
Notre SOC
Défense proactive, 24h/24, 7j/7