ZATAZ » Retour sur la vague Clop Vs. Oracle EBS

En exploitant une faille zero-day dans Oracle E-Business Suite, le groupe Clop a frappé universités, médias et industriels, transformant un outil de gestion en vecteur d’extorsion globale.

La campagne d’attaques visant Oracle E-Business Suite révèle une nouvelle étape dans l’industrialisation du ransomware. L’université de Pennsylvanie, Dartmouth, Harvard, mais aussi Cox Enterprises, Logitech, des médias et de grands groupes industriels se découvrent liés par un même point de chute : leur environnement Oracle EBS compromis quelques jours en août, parfois découvert seulement après des courriels d’extorsion. En additionnant les notifications de violation de données et la longue liste d’organisations mentionnées par Clop, on observe une campagne systémique qui exploite la centralité de ces plateformes. Au-delà des chiffres bruts, c’est la dépendance à des briques logicielles partagées qui transforme une faille unique en crise de chaîne d’approvisionnement numérique.

Universités ciblées et vulnérabilité Oracle

L’affaire commence pour le grand public avec l’université de Pennsylvanie, membre de l’Ivy League, contrainte de déclarer une violation de données auprès des autorités de l’État du Maine. L’établissement y confirme qu’une intrusion a touché son environnement Oracle E-Business Suite pendant trois jours au début du mois d’août, impactant près de 1 500 résidents du Maine. Le chiffre ne couvre qu’une fraction des personnes réellement concernées, mais il donne un ordre de grandeur concret de l’ampleur locale de l’incident.

L’université explique n’avoir compris la portée de cette compromission qu’après la reconnaissance officielle, par Oracle, d’une vulnérabilité critique affectant EBS. Cette séquence illustre un schéma désormais classique en cyberdéfense : tant que l’éditeur ne documente pas la faille, les victimes restent souvent dans l’angle mort, alors que les attaquants, eux, exploitent déjà le zero-day. Dans ce cas précis, l’alerte décisive ne vient même pas de l’éditeur, mais des courriels d’extorsion envoyés fin septembre par le groupe Clop à des organisations qu’il dit avoir compromises.

Selon Mandiant, les attaquants ne se sont pas contentés d’un seul bug, mais ont combiné plusieurs vulnérabilités dans Oracle EBS pour exfiltrer d’importants volumes de données chez plusieurs clients de la suite. Ce recours à une chaîne d’exploits permet de contourner des protections isolées et d’augmenter les chances de succès sur des environnements hétérogènes. Le 11 novembre, l’université de Pennsylvanie constate explicitement le vol de certaines informations personnelles dans son système Oracle EBS, sans préciser l’étendue ni la nature exacte de ces données, signe que l’analyse forensique est complexe et longue.

Un porte-parole de l’université rappelle que l’établissement faisait partie d’environ cent organisations identifiées comme simultanément touchées par cet incident largement exploité visant Oracle E-Business Suite. L’expression « simultanément touchées » souligne le caractère coordonné de la campagne, qui ne cible pas une institution isolée, mais une surface technique commune. L’université affirme avoir appliqué les correctifs fournis par Oracle et assure ne disposer d’aucun élément prouvant une diffusion publique ou une utilisation frauduleuse des données dérobées. Cette position correspond à la posture classique de communication de crise : rassurer sans pouvoir exclure totalement des usages futurs de ces informations.

Dartmouth College, autre institution de l’Ivy League, a déposé ses propres notifications de violation auprès de la Californie et du Maine, confirmant que son environnement Oracle EBS a été compromis, lui aussi, quelques jours en août. Les informations exposées y sont davantage détaillées : noms, numéros de sécurité sociale et données de comptes bancaires. En termes de risque, cette combinaison permet des fraudes financières directes et du vol d’identité, ce qui place la barre de gravité au niveau supérieur. Harvard, de son côté, indique mi-octobre enquêter sur une fuite liée à son système Oracle EBS, en circonscrivant pour l’instant l’impact à un nombre limité de personnes au sein d’une petite unité administrative, sans preuve de propagation vers d’autres systèmes. Pris ensemble, ces trois cas illustrent une même brèche logicielle se traduisant en scénarios d’impact différents selon la cartographie des données de chaque université.

Depuis 2023, Cl0p! a signé 954 cyber attaques documentées (384 en 2023, 50 en 2024, 520 au 10 décembre 2025). Cl0p est une variante du rançongiciel CryptoMix, utilisée notamment par le groupe TA505 dans des campagnes à but purement financier depuis 2019. À l’époque, l’attaque commençait par des mails d’hameçonnages contenant un document avec macros, qui déposait un loader nommé « Get2 ». Une fois le premier accès obtenu, les attaquants menaient reconnaissance, mouvement latéral et exfiltration de données avant de lancer le chiffrement. Lors de l’exécution, Cl0p ajoute des extensions comme .clop, .CIIp, .Cllp ou .C_L_O_P aux fichiers chiffrés, et crée des notes de rançon portant des noms tels que ClopReadMe.txt, README_README.txt, Cl0pReadMe.txt ou README!!!.TXT. L’opération Cl0p a ensuite évolué : au lieu de miser principalement sur le phishing pour livrer sa charge finale, le groupe exploite désormais des vulnérabilités 0day dans des systèmes exposés pour compromettre et infecter directement les infrastructures des victimes.

Une chaîne d’approvisionnement numérique à découvert

La vague Oracle EBS déborde très vite du secteur académique. Cox Enterprises, actif notamment dans les médias et l’automobile, annonce que les données personnelles de près de 10 000 personnes ont été compromises après la découverte, fin septembre, d’une attaque contre son propre environnement Oracle EBS. Là encore, la chronologie fait écho aux incidents universitaires, avec des compromissions survenues en août et réellement mises au jour plusieurs semaines plus tard. Quand on rapproche ces éléments, on voit se dessiner un même scénario : un attaquant tire parti d’une faille partagée pour toucher, en parallèle, une diversité d’acteurs qui ne se connaissent pas mais dépendent du même fournisseur.

Logitech confirme à son tour avoir été affecté par ces attaques généralisées contre les clients Oracle EBS. L’entreprise évoque des données probablement limitées concernant des employés, des consommateurs, ainsi que des informations liées à des clients et des fournisseurs. Logitech estime que le système visé ne stockait pas de données personnelles sensibles, comme des numéros d’identification nationaux ou des informations de cartes bancaires. Cette précision limite le risque direct de fraude, mais ne supprime pas la valeur stratégique de ces données relationnelles, utilisables par exemple pour de futures campagnes de phishing ciblé ou de compromission de chaîne d’approvisionnement.

D’autres victimes sont déjà mentionnées, parmi lesquelles le Washington Post, Envoy Air et GlobalLogic. Le simple fait de voir apparaître à la fois une grande rédaction, une compagnie aérienne et une société de services technologiques dans la même campagne illustre l’effet de ricochet propre à ce type d’attaque. On ne parle plus d’un incident sectoriel, mais d’un événement de chaîne d’approvisionnement numérique, où un même composant logiciel sert de passerelle à des attaques sur des organisations aux profils très différents.

La liste s’allonge encore avec les noms d’entreprises mis en avant par Clop depuis la fin d’année. Le groupe revendique notamment des intrusions visant MSG.com, Alaseel.com.sa, Incentiveconcepts.com, Aosom.com, Legacyclassic.com, Ibizsoftinc.com, Eighteenpk.com, Acroni.si, Zain.com, Vipappsconsulting.com, Mafas.com, Inventive-it.com, Interoil.com.co, Koreanaircnd.com, Aqm.com.sa, Northeasterncorp.com, Nama.om, Newlinecloud.com, Anywhere.re, Knextech.com, Intellinum.com, Hcmspartners.com, Aljomaihauto.com, Fruit.com, Frontrol.com, Humana.com, Abbott.com, Mazda.com, Masholdings.com, Canon.com, Tranetechnologies.com, Grupobimbo.com, Bechtel.com, Elcompanies.com, Alshaya.com, Fleetship.com, Mazdausa.com, Llproducts.com, Treetgroup.com, A10networks.com, Broadcom.com, Siu.edu, Dooney.com, Wellbizbrands.com, Michelin.com, Sumitomochemical.com, Greenball.com, Cytivalifesciences.com, Nch.com, Enovis.com, Elkay.com et Lifefitness.com.

À cette liste déjà longue s’ajoutent Tulane.edu, Rfsuny.org, Belfuse.com, Garlandisdschools.net, Availinfra.com, Aflglobal.com, Integralife.com, Helixesg.com, Tpicomposites.com, Fluke.com, Sato-global.com, Forbesmarshall.com, Pens.com, Entrust.com, Nhs.uk, Gardenoflife.com, Vitamix.com, Carglass.de, Ennvee.com, Globusandcosmos.com, P2energyservices.com, Gaeaglobal.com, Samcrete.com, Pafl.com.pk, Rheem.com, Woodplc.com, Elsewedyelectric.com, Kier.co.uk, Logitech.com, International.com, Mks.com, Trimble.com et Kirbycorp.com. Quand on parcourt cette énumération, qui traverse la santé, l’énergie, l’industrie, le transport, la distribution ou l’éducation, on voit clairement que la campagne dépasse le simple incident technique pour devenir un événement systémique de cybersécurité.

L’ensemble montre comment une vulnérabilité critique dans un produit massivement déployé peut transformer un maillon logiciel en véritable concentrateur de risque. Chaque client d’Oracle EBS gère ses propres contrôles, mais tous héritent d’une même faiblesse lorsque le code sous-jacent est vulnérable. C’est précisément ce que recherchent des groupes comme Clop : un levier unique pour produire des effets démultipliés, sans avoir à briser une à une les défenses de chaque cible.

Clop, de MOVEit à Oracle EBS

Le groupe Clop s’est spécialisé dans l’exploitation de vulnérabilités affectant des services d’échange ou d’interfaçage de données, avec une approche d’extorsion fondée sur la volumétrie. Plutôt que de chiffrer systématiquement les systèmes, Clop privilégie le vol massif de données puis la menace de divulgation publique, ce qui lui permet d’éviter certaines contre-mesures classiques contre les ransomwares. La campagne Oracle EBS s’inscrit logiquement dans cette stratégie : accéder à un cœur applicatif fortement interconnecté, exfiltrer autant de données que possible, puis exercer une pression sur les organisations via des courriels ciblés.

Ces attaques se propagent en cascade, touchant des entités situées à plusieurs niveaux de distance de la victime initiale. Lorsqu’un fournisseur de services ou une grande entreprise technologique est frappé, ce sont ses clients, leurs propres partenaires et les individus dont les données circulent dans ces systèmes qui en subissent les conséquences. Le texte le rappelle clairement : les attaques Clop peuvent atteindre des organisations et des personnes situées à plusieurs niveaux de distance de la compromission d’origine. C’est la logique même d’une chaîne d’approvisionnement numérique, où chaque maillon expose les suivants.

En 2023, Clop a infiltré les environnements MOVEit, exposant au final les données de plus de 2 300 organisations. Ce chiffre illustre l’échelle industrielle de la campagne : il ne s’agit plus d’un rançongiciel visant quelques entreprises à forte valeur, mais d’un modèle économique qui repose sur l’exploitation d’une faille unique à grande échelle. En comparant MOVEit et Oracle EBS, on observe un même schéma d’attaque sur des produits différents : identification d’une vulnérabilité critique, exploitation simultanée d’un grand nombre de cibles, exfiltration de masse, puis communication calibrée sur un site de fuite pour accentuer la pression.

La liste d’organisations liée à la campagne Oracle EBS, des universités de l’Ivy League à des acteurs industriels mondiaux, laisse penser que Clop applique la même recette en changeant simplement de vecteur technique. Chaque nom ajouté à la liste sert à renforcer la crédibilité de la menace et, par ricochet, la probabilité que certaines victimes cèdent à l’extorsion. Du point de vue renseignement cyber, cette continuité entre les campagnes fournit un indicateur : le groupe cherche avant tout des plateformes centrales, là où les données et les flux se concentrent.

Pour les organisations, l’enjeu dépasse largement l’application des correctifs Oracle. Il s’agit de cartographier précisément les dépendances à des solutions critiques, d’anticiper le scénario où un composant tiers devient une porte d’entrée et de préparer une réponse coordonnée avec les fournisseurs. En l’absence de cette vision, chaque nouvelle faille majeure risque de se transformer, comme pour MOVEit puis Oracle EBS, en crise globale de confiance dans toute une chaîne numérique.