Des courriels d’extorsion visant des dirigeants d’entreprise mettent en cause un vol de données dans les applications Oracle. Google confirme une campagne active, Oracle reconnaît que ses clients sont visés, tandis qu’un groupe revendiquant l’attaque ainsi qu’un lien avec le rançongiciel Cl0p.

Google a alerté ses clients sur une campagne d’extorsion de grande ampleur, qui cible spécifiquement des dirigeants d’entreprise. Selon l’équipe de veille de la firme, les attaquants envoient des messages affirmant avoir dérobé des données confidentielles depuis des applications Oracle E-Business Suite. Le groupe responsable se présenterait comme affilié à Cl0p, connu pour ses campagnes de rançongiciel et d’extorsion depuis plusieurs années.

Oracle a reconnu que certains de ses clients ont reçu des courriels d’extorsion dans les jours précédents. La société indique avoir lancé une enquête, sans confirmer à ce stade une compromission avérée de ses services. Elle exhorte néanmoins ses clients à appliquer rapidement les mises à jour de sécurité disponibles pour les versions concernées de ses solutions ERP, signalant l’exploitation possible de vulnérabilités connues.

Interrogée par Reuters, la direction d’Oracle n’a pas souhaité préciser le nombre de clients affectés. Le groupe à l’origine des courriels accuse de son côté Oracle d’avoir « mal géré » la situation, mais n’apporte pas davantage d’éléments sur les méthodes ou la date du supposé vol de données.

Extorsion directe, menace floue

Contrairement aux campagnes classiques de rançongiciel, cette offensive s’appuie sur un levier psychologique : les messages ne bloquent pas les systèmes, mais menacent de divulguer des données si une rançon n’est pas versée. Selon Halcyon, société spécialisée dans la lutte contre les rançongiciels, les demandes d’extorsion observées récemment dans des campagnes similaires varient entre quelques millions et plus de 50 millions de dollars.

Cynthia Kaiser, responsable du Ransomware Research Center chez Halcyon, souligne que la multiplication des opérateurs dans l’écosystème criminel rend l’attribution difficile. Plusieurs campagnes récentes combinent le recyclage de techniques connues, des revendications croisées et de faux groupes inspirés de figures établies comme Cl0p.

Applications critiques, surface d’attaque élargie

Cette attaque met en lumière un point de vulnérabilité encore mal couvert : les applications de gestion intégrée. Souvent anciennes et massivement personnalisées, les suites ERP comme Oracle E-Business Suite forment une cible d’autant plus critique qu’elles centralisent des données financières, RH, achats et reporting.

Une exploitation réussie, même limitée, suffit à fragiliser durablement une organisation. Les attaquants le savent et ciblent les fonctions décisionnelles, à la recherche d’un levier psychologique plus efficace que le chiffrement technique. Le passage direct par les courriels de dirigeants en témoigne.

Une pression accrue sur les éditeurs et les RSSI

Pour les responsables sécurité, cette affaire souligne l’urgence d’intégrer les couches applicatives dans les démarches d’évaluation des expositions. Les systèmes anciens, insuffisamment surveillés, constituent des points d’entrée majeurs. Du côté des éditeurs, la pression monte pour accélérer la publication de correctifs, améliorer la transparence en cas d’alerte, et proposer des moyens de remédiation proactifs.

La réputation d’Oracle pourrait être affectée si l’affaire s’amplifie, d’autant plus que la société n’a pas encore communiqué publiquement sur les modalités précises de la réponse à l’incident. Quant aux organisations visées, la priorité reste la vigilance : sécurisation des accès, contrôle de version, surveillance des courriels entrants et accompagnement des équipes dirigeantes face aux risques de pression ciblée.