Okta, le authentification et géant de la gestion des identités, enquête sur des allégations prétendument faites par des pirates informatiques malveillants selon lesquelles ils auraient compromis son environnement interne dans le but de cibler les clients d’Okta.

LAPSUS$, un gang de rançongiciels identifié pour la première fois en décembre 2021, a affirmé avoir obtenu un accès « superutilisateur » à Okta.com, selon des captures d’écran circulant sur Twitter aujourd’hui (22 mars).

« Pour un service qui alimente les systèmes d’authentification de la plupart des plus grandes entreprises (et approuvé par FedRAMP), je pense que ces mesures de sécurité sont assez médiocres », lit un message affiché dans les captures d’écran.

« Avant que les gens ne commencent à demander : nous n’avons pas accédé/volé de bases de données à Okta ; nous nous concentrions uniquement sur les clients d’Okta », a-t-il poursuivi.

Les captures d’écran semblent également montrer que les attaquants avaient accès à une série de comptes d’entreprise, notamment Jira, AWS, Salesforce, Zoom, Google Workspace et Confluence dans l’environnement ciblé.

Okta, basée à San Francisco, fournit l’authentification unique (SSO), l’authentification multifacteur (MFA) et des services connexes à plus de 15 000 clients.

« Fenêtre du temps »

Okta a dit dans un déclaration a publié mardi 22 mars qu’il pensait que les captures d’écran étaient liées à une tentative, détectée en janvier, « de compromettre le compte d’un ingénieur de support client tiers travaillant pour l’un de nos sous-traitants ». Il a ajouté que l’incident avait été contenu et il n’avait vu « aucune preuve d’activité malveillante en cours au-delà de l’activité détectée en janvier ».

Cependant, plus tard le même jour, le CSO d’Okta, David Bradbury, a publié un autre déclaration admettant qu' »environ 2,5% » des clients d’Okta « ont potentiellement été impactés et dont les données ont pu être consultées ou exploitées ».

Ces clients ont été alertés par Okta mais n’ont pas eu besoin de prendre de « mesures correctives », a-t-il ajouté.

Un rapport fourni par une société médico-légale cette semaine, a poursuivi Bradbury, avait « souligné qu’il y avait une fenêtre de temps de cinq jours entre le 16 et le 21 janvier 2022, où un attaquant avait accès à l’ordinateur portable d’un ingénieur de support ».

Bradbury a déclaré que les sessions Okta actives de l’attaquant avaient depuis été interrompues et que son compte avait été suspendu.

« L’impact potentiel sur les clients d’Okta est limité à l’accès dont disposent les ingénieurs de support », a-t-il ajouté. « Ces ingénieurs sont incapables de créer ou de supprimer des utilisateurs, ou de télécharger des bases de données clients.

« Les ingénieurs de support ont accès à des données limitées – par exemple, les tickets Jira et les listes d’utilisateurs – qui ont été vues dans les captures d’écran. Les ingénieurs de support sont également en mesure de faciliter la réinitialisation des mots de passe et des facteurs d’authentification multifacteur pour les utilisateurs, mais ne sont pas en mesure d’obtenir ces mots de passe.

Bradbury a déclaré que le service Okta n’avait « pas été violé et reste pleinement opérationnel ».

Matthew Prince, PDG de Cloudflare, un client d’Okta, tweeté plus tôt dans la journée : « Nous réinitialisons les informations d’identification @Okta de tous les employés qui ont changé leur mot de passe au cours des 4 derniers mois, par prudence. Nous n’avons confirmé aucun compromis. Okta est une couche de sécurité. Étant donné qu’ils peuvent avoir un problème, nous évaluons des alternatives pour cette couche. »

Shane Curran, PDG de la société de sécurité des données Evervault, a déclaré : « Okta compte actuellement des centaines de millions d’utilisateurs et se prépare à faire évoluer rapidement les utilisateurs. Si elle est confirmée, cette violation pourrait faire des ravages dans les entreprises du monde entier qui comptent sur le service pour assurer leur sécurité et pourrait s’avérer être un scénario cauchemardesque pour Okta et ses clients.

Gang prolifique

LAPSUS$ a été lié à des piratages dommageables d’Ubisoft, Samsung et Vodafone ces dernières semaines. Lundi, le groupe prolifique s’est vanté de l’une de ses plus grandes victimes à ce jour, alléguant qu’il avait compromis le système interne de Microsoft. Serveur Azure DevOps et a ensuite divulgué 37 Go de code source volé pour plusieurs projets Microsoft.

S’inscrivant dans une tendance plus large, Lapsus$ semble favoriser l’extorsion des victimes sur la base de menaces de publier des données sensibles volées plutôt que de chiffrer des données et d’exiger un paiement en échange d’une clé de déchiffrement.

Ces demandes de rançon sont devenues plutôt non conventionnelles dans le cas du fabricant de puces américain Nvidia, qu’il aurait tenté de faire chanter pour supprimer les limiteurs de minage de hachage sur certaines cartes graphiques et ouvrir ses pilotes GPU.

« La plupart de ces attaques ont ciblé des référentiels de code source leur permettant de voler des données propriétaires », a commenté Borja Rodriguez, responsable de l’équipe de chasse aux menaces de la société de cybersécurité Blueliv.

« Même les chercheurs en sécurité ne peuvent pas préciser quelles (le cas échéant) les souches de rançongiciels le groupe utilise, ni comment ils violent ces entreprises. Certains d’entre eux croient qu’ils recrutent des employés ou des initiés qui peuvent leur donner accès à n’importe quelle entreprise de télécommunications, à de grandes sociétés de logiciels/de jeux, à des centres d’appels ou à de gros hébergeurs de serveurs ; et également en utilisant le phishing pour obtenir un accès initial.

VOIR ÉGALEMENT Un «incident de cybersécurité» chez Ubisoft perturbe les opérations et force la réinitialisation du mot de passe à l’échelle de l’entreprise