Le fournisseur de services d’authentification Okta a mentionné cette nuit à Reuters enquêter sur un rapport faisant état d’un piratage.
« Fin janvier 2022, Okta a détecté une tentative de compromettre le compte d’un ingénieur de support client tiers travaillant pour l’un de nos sous-traitants. Le problème a été examiné et maîtrisé par le sous-traitant » vient d’indiquer ce matin sur Twitter Todd McKinnon, le PDG d’Okta. « Nous pensons que les captures d’écran partagées en ligne sont liées à cet événement de janvier. Sur la base de notre enquête à ce jour, il n’y a aucune preuve d’activité malveillante en cours au-delà de l’activité détectée en janvier ».
Le groupe de pirates LAPSUS$ a publié des captures d’écran montrant ce qu’il prétend être des éléments de l’environnement informatique interne de l’entreprise. Si ce piratage est avéré, c’est une véritable bombe qui explose dans le monde de la cybersécurité des entreprises.
Un système de SSO utilisé par des milliers entreprises
La solution d’Okta permet la gestion des mots de passe et profils, ou leur délégation sécurisée en libre-service aux utilisateurs, en proposant plusieurs méthodes d’authentification (multifactorielle, SSO pour « Single Sign-on », etc.) et plusieurs protocoles d’identité (SAML, OAuth, ou OpenID).
Ces approches dites « Zero Trust » reposent justement sur la conviction que les entreprises devraient systématiquement ne jamais faire confiance à quoi que ce soit, ni à l’intérieur, ni à l’extérieur de leur périmètre réseau. Sauf à Okta.
Cette solution est utilisée par des milliers d’entreprises pour gérer l’accès à leurs propres réseaux et applications. Les captures d’écran publiées par les pirates montrent des services et logiciels tels que Jira, AWS, Salesforce ou encore Zoom, qui utilisent tous Okta pour être connecté à leurs clients. Okta compte plus de 10 000 clients.
Des captures d’écran authentifiées
Les captures d’écran ont été publiées par LAPSUS$. Des experts en cybersécurité ont confirmé leur vraisemblance à Reuters. Le groupe cybercriminel utilise des ransomwares pour forcer les entreprises qui veulent récupérer leurs donnés à payer une rançon.
LAPSUS$ a diffusé les captures d’écran (messagerie Slack et ticketing interne) sur son canal Telegram. Un message accompagnant les captures d’écran mentionne que les pirates s’intéressent « UNIQUEMENT (aux) clients d’Okta ».
C’est Chris Hollis, responsable d’Okta, qui a reconnu que la société avait été mise au courant d’allégations de piratage et qu’elle enquête sur ces événements.
La loi des séries pour LAPSUS$
Le groupe cybercriminel LAPSUS$ fait la Une en ce moment avec des revendications de piratage tous azimuts. Début mars 2022, le groupe affirmait avoir dérobé le code source des appareils Galaxy de Samsung lors d’une cyberattaque. Une information confirmée par le géant sud-coréen.
Une semaine plus tard, c’était le groupe Ubisoft qui révélait un « incident de sécurité » l’obligeant à réinitialiser les mots de passe en interne. LAPSUS$ avait là aussi revendiqué l’attaque.
Début mars 2021, Okta rachetait son concurrent frontal Auth0 pour un montant de 6,5 milliards de dollars, créant un poids lourds de l’authentification en ligne et du contrôle d’accès (CIAM – Customer Identity And Access et IAM (Identity an Access Management).
Au-delà de l’authentification sur les services et logiciels, Okta travaille d’ores et déjà sur l’ouverture de services bancaires. L’an passé, l’entreprise a conclu un partenariat avec Cloudentity en ce sens.
