Les chercheurs en sécurité affirment avoir découvert de graves lacunes en matière de sécurité dans les systèmes du fournisseur d’identité Okta.

Le spécialiste de la gestion des identités et des accès Automize a rendu public quatre supposées vulnérabilités à la suite d’un processus de divulgation non concluant.

Les vulnérabilités « accordent aux acteurs de la menace avec des privilèges d’administrateur d’application la possibilité d’extraire des mots de passe en texte clair, de se faire passer pour n’importe quel utilisateur en aval et de se faire passer pour n’importe qui dans le hub ou un autre rayon », selon Automize.

Cependant, Okta n’est toujours pas convaincu de la gravité de ces failles supposées, affirmant qu’il n’a pas l’intention de publier des mises à jour de sécurité en réponse aux recherches d’Automize. Les utilisateurs ayant des problèmes persistants ont la possibilité d’augmenter leurs paramètres de sécurité par défaut, a conseillé Okta.

Gal Diskin, CTO et co-fondateur d’Automize, a déclaré qu’il « travaillait en étroite collaboration avec Okta pour améliorer la sécurité de ses clients.

« Bien que nous puissions être en désaccord avec leur décision de ne pas attribuer de CVE pour nos découvertes, le point crucial pour nous est qu’ils les prennent au sérieux et que nous collaborons avec eux sur la base du respect professionnel mutuel », a-t-il déclaré.

Diskin a poursuivi en affirmant que l’exploitation des failles ne serait pas difficile, même pour un attaquant modestement qualifié.

« Si vous avez les bons privilèges/configuration [then you]et toute personne ayant des compétences techniques même limitées, peut mener à bien cette exploitation », a-t-il déclaré.

Diskin a poursuivi : « Les attaquants peuvent utiliser ces failles pour : voler les mots de passe de tous les employés, élever les privilèges au super-administrateur, créer des portes dérobées cachées persistantes, compromettre toutes les applications en aval pour effectuer du doxing, de l’usurpation d’identité, du vol ou à des fins de rançon.

« Les attaquants peuvent utiliser les privilèges de super-administrateur pour effectuer des attaques destructrices contre les applications en aval connectées à n’importe quel IdP [identity provider], » il ajouta.

Bavardage souterrain

Interrogé directement, Automize a admis qu’il n’avait aucune preuve d’exploitation dans le monde réel des failles dont il parle. Le cabinet de conseil en sécurité soutient néanmoins que l’exploitation aurait pu se produire « sous le radar ».

« Il y a eu certaines fuites inexpliquées de mots de passe et de noms d’utilisateur qui peuvent finir par être attribuées à ces problèmes », a déclaré Diskin. « Nous avons également entendu des partenaires d’entreprises de renseignements sur les menaces dire qu’ils considèrent que les systèmes d’identité sont largement discutés comme des cibles dans les forums de cybercriminels. »

Potentiel de menace plus large

Automize estime que les lacunes de sécurité qu’il a découvertes sont propres à Okta – plutôt que d’être un problème générique qui affecte également d’autres fournisseurs d’identité.

Diskin a déclaré : « D’après nos recherches, il ne semble pas que d’autres IdP courent un risque similaire. »

« Cela étant dit, il existe certaines attaques inhérentes à tout fournisseur d’identité, telles que l’usurpation d’identité via des fournisseurs d’identité en amont, les manipulations de noms d’utilisateur dans les applications en aval et diverses autres mauvaises configurations qui, selon nos recherches, nécessitent une surveillance constante », ont-ils conclu.

Okta, cependant, a déclaré que les problèmes découverts par Automize ne lui sont pas propres et peuvent être résolus en suivant les meilleures pratiques de l’industrie.

« Automize a contacté Okta avec les détails techniques de son article de blog », a déclaré Okta. « Après un examen approfondi, nous avons déterminé que les éléments répertoriés ne sont pas propres à Okta et que l’application des meilleures pratiques de sécurité atténuera les risques rencontrés avec les éléments du blog.

« Les clients d’Okta qui souhaitent renforcer la sécurité de leur organisation peuvent utiliser notre documentation produit en ligne pour appliquer les paramètres les plus sécurisés« , a-t-il ajouté.

Mardi, Okta a publié un article de blog résumant sa réponse à la recherche d’Automize qui offre des conseils aux clients sur la façon de sécuriser leurs environnements.