À retenir :
- L’organisation cybercriminelle connue sous le nom de Cl0p a exploité une vulnérabilité zero-day dans Oracle E-Business Suite, entraînant des violations de données critiques pour des dizaines de grandes entreprises. Le groupe de ransomware réclame des rançons importantes à certaines des plus grandes sociétés mondiales, dont Broadcom, Estée Lauder, Mazda et Canon d’après certaines sources.
- Une vulnérabilité zero-day désigne une faille de sécurité dans un logiciel, un matériel ou un firmware inconnue de ses développeurs, la rendant exploitable par des cybercriminels et d’autres acteurs malveillants.
- À ce jour, plus de 100 entreprises ont été touchées par les attaques de Cl0p contre Oracle EBS. Sur une période de 24 heures, entre le 20 et le 21 novembre, le groupe aurait exploité ces failles pour exfiltrer des données auprès de 29 entreprises. Ces sociétés sont basées aux États-Unis, au Japon, en Arabie Saoudite, entre autres, et incluent plusieurs groupes valorisés à plusieurs centaines de milliards de dollars.
À partir du jeudi 20 novembre et jusqu’au lendemain, le groupe cybercriminel Cl0p a exploité une vulnérabilité zero-day dans Oracle E-Business Suite, conduisant à des violations de données critiques au sein de nombreuses grandes entreprises. Le groupe de ransomware exige d’importants paiements de la part de certains des plus grands groupes mondiaux, dont Broadcom, Estée Lauder, Mazda et Canon selon certaines sources. Dans un email relayé par la presse, Cl0p précise qu’ils « ne cherchent pas le pouvoir politique ni à influencer une quelconque activité commerciale ». Leur objectif exclusif est de contraindre les entreprises ciblées à « payer la somme demandée ».
Qui est Cl0p ?
Le groupe cybercriminel revendiquant les attaques contre les clients Oracle E-Business Suite se fait appeler Cl0p. Ce groupe russophone est actif depuis au moins 2019 et a mené de nombreux attaques par ransomware à grande échelle depuis sa création. Cl0p est réputé pour ses techniques d’extorsion sophistiquées et ses logiciels malveillants avancés, ayant à ce jour extorqué plus de 500 millions de dollars.
Selon la Cybersecurity and Infrastructure Security Agency (CISA) américaine, Cl0p « est reconnu pour faire évoluer fréquemment ses logiciels malveillants et pour influencer les tendances mondiales de la diffusion de malware criminels ». Largement considéré comme « l’un des plus grands diffuseurs de phishing et malspam au monde », Cl0p a compromis les données de plus de 8 000 entreprises, dont 3 000 organisations américaines, depuis son apparition il y a six ans.
Qu’est-ce qu’une vulnérabilité zero-day, et comment Cl0p l’a-t-il exploitée ?
Une vulnérabilité zero-day désigne une faille de sécurité dans un logiciel, matériel ou firmware inconnue de ses développeurs, la rendant donc exploitable par des cybercriminels et autres acteurs malveillants. Comme l’explique à juste titre le site de l’Office of Innovative Technologies de l’Université du Tennessee :
« Une vulnérabilité zero-day est comme une trappe cachée dans votre application ou système d’exploitation préféré. »
Le terme « zero-day » fait référence au temps dont disposent les développeurs, les experts en cybersécurité et d’autres parties prenantes pour connaître la faille de sécurité. Comme son nom l’indique, les vulnérabilités zero-day ne font pas encore l’objet d’un correctif ou d’une réparation active ; les développeurs ignorent même leur existence. Ce point aveugle permet aux pirates de tirer parti de la vulnérabilité pour voler ou exfiltrer des données sensibles, implanter des malwares, et mener d’autres actions malveillantes à des fins diverses.
Dans l’attaque actuelle contre Oracle E-Business Suite, Cl0p a exploité deux vulnérabilités zero-day connues. Les deux concernent les versions 12.2.3 à 12.2.14 d’Oracle EBS.
- CVE-2025-61882 : Cette CVE (« common vulnerabilities and exposures », failles et expositions courantes) est une vulnérabilité au sein de l’intégration BI Publisher dans Oracle E-Business Software. Selon le National Cyber Security Centre britannique, cette CVE permet à des hackers non authentifiés « d’envoyer des requêtes HTTP spécialement conçues vers le composant affecté, ce qui peut entraîner une compromission complète du système ». CVE 2025-61882 a ainsi donné à Cl0p un accès direct au système ciblé.
- CVE-2025-21884 : Cette vulnérabilité vise l’interface utilisateur Runtime d’Oracle Configurator. Selon la CISA, cette CVE « permet à un attaquant non authentifié disposant d’un accès réseau via HTTP de compromettre Oracle Configurator ». Son exploitation réussie peut donner aux hackers un accès non autorisé à des données sensibles ou critiques.
Depuis combien de temps le groupe cybercriminel exploite-t-il Oracle ?
Les attaques par ransomware de Cl0p contre Oracle E-Business Software remontent à la fin du mois de septembre.
Ces deux derniers mois, l’emprise du groupe s’est progressivement élargie, Cl0p revendiquant désormais plus de 100 organisations ciblées rien que pour les attaques sur Oracle EBS. Les jeux de données de 77 entreprises ont par ailleurs été divulgués via des fichiers torrent ou des liens magnet.
Quelles entreprises ont été touchées par l’attaque par ransomware ?
À ce jour, plus de 100 entreprises auraient été affectées par les attaques Cl0p sur Oracle EBS. Sur une période de 24 heures, entre le 20 et le 21 novembre, le groupe aurait fait monter ce chiffre en exfiltrant les données de 29 entreprises supplémentaires. Les sociétés concernées sont basées aussi bien aux États-Unis, qu’au Japon ou en Arabie Saoudite, et incluent plusieurs groupes valorisés à plusieurs centaines de milliards de dollars.
Entreprises supposément visées lors de l’attaque du 20 novembre
- Oracle
- Michelin
- Broadcom
- The Estée Lauder Companies
- Humana
- Fruit of the Loom
- Abbott Laboratories
- Grupo Bimbo
- A10
- Envoy
- Canon
- Greater Cleveland RTA
- Frontrol
- MAS Holdings
- Trane Technologies
- Treet Corp
- University of Phoenix
- L&L Products
- Worley
- Mazda
- Fleet Management Limited
- Alshaya Group
- Bechtel Corporation
- WellBiz Brands, Inc.
- Dooney & Bourke
- Greenball
- Sumitomo Chemical
- Aljomaih Automotive Company (AAC)
Quelles mesures sont prises pour contrer ces cyberattaques ?
Depuis début octobre, Oracle a publié deux alertes de sécurité majeures pour informer les utilisateurs des vulnérabilités associées aux attaques zero-day de Cl0p. La première concernait la CVE-2025-61882. « Cette vulnérabilité est exploitable à distance sans authentification, c’est-à-dire qu’elle peut être exploitée sur un réseau sans avoir besoin d’un identifiant et d’un mot de passe, » expliquait Oracle dans son alerte de sécurité. « Oracle recommande vivement à ses clients d’appliquer au plus vite les mises à jour fournies dans cette alerte de sécurité. » Cette mise à jour inclut un document de disponibilité du correctif, détaillant les étapes d’accès et d’installation du patch de sécurité.
Oracle a publié une seconde alerte de sécurité pour corriger la CVE-2025-61884. Cette alerte comprenait également une documentation sur la disponibilité du correctif et rappelait l’importance de l’application immédiate de la mise à jour afin d’éviter une faille de sécurité majeure ou d’autres conséquences graves.
Quelles sont les menaces de Cl0p en cas de non-paiement ?
Selon le contenu de l’email Cl0p publié par Mandiant, la société de cybersécurité filiale de Google, le principal levier du groupe réside dans les données sensibles exfiltrées depuis Oracle EBS. Dans le message, Cl0p avertit que les entreprises qui refusent de payer la rançon verront leurs données clients publiées, soit par la vente à des « acteurs noirs », soit via la publication sur le blog du groupe, soit par le biais de trackers torrent.
Mandiant a également publié un communiqué important sur le mode opératoire du groupe cybercriminel. L’entreprise de cybersécurité explique que lors de précédentes campagnes menées par Cl0p, « les acteurs attendaient généralement plusieurs semaines avant de poster les données volées ». Cela laisse entendre que les entreprises victimes du dernier incident du groupe disposent d’un certain délai avant que leurs données clients ne soient divulguées sur l’un des supports utilisés traditionnellement par Cl0p.
Identifier les vulnérabilités de vos fournisseurs avec Z2Data
Pour les fabricants d’équipements d’origine (OEM) et autres entreprises, le risque fournisseur est une variable dynamique et imprévisible de la chaîne d’approvisionnement. Comme l’illustrent les attaques exploitant les vulnérabilités zero-day d’Oracle, les entreprises peuvent subir de lourdes conséquences à la suite de perturbations chez leurs fournisseurs, et il n’est pas toujours possible d’agir immédiatement. Au cours des six dernières semaines, des entreprises du Fortune 500 telles que Broadcom, Abbott Laboratories et Estée Lauder auraient toutes subi d’importantes violations de données en raison des vulnérabilités de leur fournisseur de logiciels, Oracle.
La vulnérabilité face aux risques fournisseurs ne doit pas constituer une fatalité. Les entreprises peuvent s’appuyer sur une plateforme de gestion des risques de la chaîne d’approvisionnement (SCRM, supply chain risk management) pour se prémunir contre les menaces potentielles liées à leurs fournisseurs.
Mais la vulnérabilité face aux risques fournisseurs n’est pas une fatalité. Les organisations peuvent utiliser une plateforme SCRM pour se protéger contre les risques induits par leurs partenaires et fournisseurs. L’outil SCRM Z2Data propose un hub de risques complet regroupant des évaluations sur plus de 100 000 fournisseurs dans le monde. Chaque évaluation prend en compte 12 facteurs spécifiques pour fournir une analyse multidimensionnelle de la menace associée à chaque fournisseur. Les facteurs de risque analysés par Z2Data incluent :
- Dépendance d’approvisionnement
- Impact des droits de douane
- Conformité commerciale
- Risque géopolitique
- Opérations de fabrication
- Santé financière
- Risque de faillite
- Risque ESG (critères environnementaux, sociaux et de gouvernance)
- Cybersécurité
- Transparence des données
- Matériaux
- Risque de chaîne d’approvisionnement électronique
Grâce au Risk Hub de Z2Data, les organisations bénéficient d’une visibilité et d’une intelligence leur permettant d’identifier les risques de manière proactive, avant qu’ils ne deviennent des crises de chaîne d’approvisionnement irréversibles. Pour en savoir plus sur Z2Data et ses capacités d’analyse des risques fournisseurs, demandez une démo gratuite avec l’un de nos experts produits.