Les clients touchés par le piratage d'Okta sont bien plus nombreux qu’annoncé (update)
Le service de support d’Okta a été piraté. L'éditeur du logiciel de gestion des mots de passe 1Password a subi une attaque via son emploi de la solution d'Okta, mais estime qu'aucune données clients n'a été dérobée. Okta vient de communiquer que tous les clients de son service de support sont concernés.
Mise à jour du 30 novembre 2023: l'attaque contre Okta, révélée fin octobre (lire ci-dessous), concerne finalement davantage de clients que précédemment communiqués. Le spécialiste de la gestion des identités et des accès (IAM) a dans un premier temps estimé que 134 de ses clients étaient touchés, soit moins de 1% de sa clientèle. Or, dans un billet de blog fraîchement publié par David Bradbury, Chief Security Officer chez Okta, il apparaît que les données comprises lors de l'attaque concernent toutes les entreprises qui font appel à son service de support.
Le CISO d’Okta se veut néanmoins rassurant. Il précise que pour 99,6% des utilisateurs figurant dans les données compromises, les seules informations de contact enregistrées sont le nom complet et l'adresse électronique. «Bien que nous n'ayons pas de connaissance directe ou de preuve que ces informations sont activement exploitées, il est possible que l'acteur de la menace utilise ces informations pour cibler les clients d'Okta par le biais d'attaques de phishing ou d'ingénierie sociale», prévient David Bradbury.
Mise à jour du 7 novembre 2023: Okta a communiqué sur le piratage dont il a été victime fin octobre (lire ci-dessous). Le spécialiste de la gestion des identités et des accès (IAM) a fait savoir que 134 de ses clients sont concernés, soit moins de 1% de sa clientèle. Cinq d’entre eux ont toutefois été particulièrement touchés: ils ont ensuite été victimes d'attaques de détournement de session, car des tokens de session ont également été dérobés lors du piratage. Les tokens volés permettent aux pirates d'usurper l'identité de leurs victimes. Par exemple pour des opérations bancaires en ligne. Trois entreprises clientes dont les sessions Internet ont été détournées se sont déjà exprimées publiquement à ce sujet, rapporte Bleepingcomputer. Il s'agit de 1Password, Beyondtrust et Cloudflare.
Mise à jour du 24 octobre 2023: 1Password visé suite au piratage d'Okta
Dans un billet de blog, 1Password, société éditrice du gestionnaire de mots de passe éponyme, indique avoir détecté une attaque fin septembre liée au piratage d’Okta. L’équipe IT de 1password a reçu un e-mail indiquant qu’elle avait lancé un rapport Okta contenant la liste des ses administrateurs. Après avoir vérifié que tel n’était pas le cas, les équipes sécurité ont été alertées et elles ont identifié une activité dans l’environnement d’Okta provenant d’une adresse IP suspecte. Selon l’évaluation initiale de 1Password, rien n’indique que les pirates ont accédé à ses systèmes (en dehors d’Okta) ou à des données de ses utilisateurs. «L'activité que nous avons vue suggère qu'ils ont mené une reconnaissance initiale avec l'intention de ne pas être détectés dans le but de recueillir des informations pour une attaque plus sophistiquée», explique 1Password.
News originale du 23 octobre 2023. Spécialiste de la gestion des identités, Okta s’est fait à nouveau hacker. Okta annonce s’être fait pirater et subtiliser des données sensibles de sa clientèle. Une très mauvaise nouvelle pour une entreprise spécialisée dans le gestion des identités et des accès (IAM). D’ailleurs son action a perdu 10% de sa valeur vendredi suite é la révélation du problème. Sans compter que ce n’est pas la première fois que la firme souffre d’un tel incident. En 2021, l’ éditeur californien avait souffert d’un vol de données via le piratage d’un outil employé par son service client.
La nouvelle attaque dévoilée par Okta concerne également le support client, mais cette fois l’éditeur s’est fait attaquer directement son outil de gestion des cas et non pas via un sous-traitant. Selon la note publiée par le CISO de la société, les pirates auraient mis la main sur certains fichiers (HTTP Archive ou HAR) que le clientèle peut être amenée à transmettre au service de support d’Okta. Ces fichiers contiennent parfois des données sensibles, telles que des cookies et des tokens de sessions, que le hackers peuvent employer pour usurper l’identité d’utilisateurs autorisés.
Okta indique que l’attaque ne concerne que certains clients qui ont été avertis. L’éditeur souligne qu'il recommande en général de veiller à nettoyer les fichiers HAR (de supprimer des données d’accès) avant de les envoyer à son service de support. Selon The Register, le piratage du service de support d’Okta aurait été détecté par l’un de ses clients - BeyondTrust - dès le 2 octobre et signalé à l’entreprise.
