Lapsus$ : Okta évoque une « tentative ratée » de compromission

[Mise à jour @19h20] Dans une déclaration publiée sur son site Web, Okta évoque une « tentative infructueuse de compromission du compte d’un ingénieur de support client travaillant pour un prestataire tiers ». Il assure qu’il n’y a pas eu de brèche, que ses services « restent pleinement opérationnels », et qu’aucune « action corrective n’est nécessaire » du côté de ses clients.

Toutefois, Okta reconnaît que des assaillants ont bien eu la main sur l’ordinateur portable de l’ingénieur en question durant 5 jours, entre les 16 et 21 janvier 2022. Et de préciser que ceci « est cohérent avec les captures d’écran » qui ont été publiées par Lapsus$. Okta indique n’avoir reçu le rapport d’enquête de l’incident que cette semaine, deux mois après les faits.

Selon Okta, les ingénieurs de support client « ne sont pas en mesure de créer ou effacer des utilisateurs ni télécharger des bases de données clients ». Et d’assurer qu’ils n’ont accès « qu’à des données limitées » – celles « que l’on voit dans les captures d’écran ». Surtout, « les ingénieurs support sont capables de faciliter la réinitialisation de mots de passe et de facteurs de MFA pour les utilisateurs, mais ne sont pas en mesure d’obtenir ces mots de passe ».

Enfin, Okta indique « poursuivre l’investigation », notamment pour « identifier et contacter les clients qui pourraient avoir été contactés ».

[Article original, 22 mars 2022 @11h20] Ce mardi 22 mars, peu après 4h du matin, le groupe dit Lapsus$ a revendiqué, sur son canal Telegram, une cyberattaque contre Okta, partageant 8 captures d’écran pour étayer ses allégations. Dans son message de revendication, le groupe a indiqué que ces captures se rapportaient à « notre accès Superutilisateur/administrateur chez Okta.com et sur d’autres systèmes ». Et de préciser ne pas avoir accédé à des bases de données de l’éditeur ni en avoir volé : « notre intérêt s’est uniquement porté sur les clients d’Okta ».

Les captures d’écran suggèrent l’utilisation d’une machine virtuelle VirtualBox pour accéder, via le protocole RDP, à un poste de travail Windows d’une personne disposant de droits d’accès à des services SaaS en usage, en interne, chez Okta : Atlassian Jira Service Management, Slack, mais également l’interface d’administration en mode super utilisateur des services d’Okta lui-même. Là, une capture d’écran suggère la possibilité, par exemple, de réinitialiser le mot de passe d’un utilisateur. C’est un collaborateur de Cloudflare qui est pris pour illustration par les assaillants.

Matthew Prince, co-fondateur et PDG de Cloudflare, n’a pas manqué de réagir rapidement. Dans un message sur Twitter, il explique que « rien ne suggère que Cloudflare ait été compromis. Okta n’est qu’un fournisseur d’identité pour Cloudflare. Heureusement, nous avons plusieurs couches de sécurité au-delà d’Okta et ne les considérerions jamais comme une option unique ». Et d’ajouter que si Cloudflare dispose de ses propres outils de gestion des accès et de l’authentification en interne, ce n’est pas le cas à l’externe : « nous n’avons jamais voulu le construire. Mais maintenant… » Et de suggérer que Cloudflare utilise, pour ses besoins propres, sa solution d’accès réseau sans confiance (ZTNA, zero-trust network access).

Toujours sur Twitter, Todd McKinnon, co-fondateur et PDG d’Okta, indique que, « fin janvier 2022, Okta a détecté une tentative de compromission de compte d’un ingénieur support client tiers travaillant pour l’un de nos sous-traitants ». Et de préciser que le sous-traitant en question a enquêté sur le sujet et contenu la menace.

Selon Todd McKinnon, « les captures d’écran partagées en ligne sont liées à cet incident de janvier. Selon notre enquête, à ce jour, rien ne suggère d’activité malveillante en cours au-delà de celle détectée en janvier ».

À nos confrères de Reuters, un porte-parole d’Okta a indiqué que l’entreprise avait connaissance des allégations de Lapsus$ et menait son enquête. Et de promettre des précisions « lorsque des informations additionnelles seront disponibles ».

Okta est un acteur incontournable de la gestion des accès et de l’authentification. Et il a régulièrement étendu le périmètre de son offre pour conserver ce statut. En juillet 2018, Okta s’est offert ScaleFT pour s’ouvrir au concept d’architecture sans confiance, afin de renforcer le contrôle d’accès aux ressources des systèmes d’information.

Début 2019, il a également annoncé le rachat d’Azuqua pour simplifier la gestion des requêtes de provisionnement d’accès aux applications, notamment. Début 2021, Okta a sorti son chéquier pour s’offrir un challenger plus que prometteur, Auth0. Dans la foulée, il s’est lancé dans l’intégration pour étendre le périmètre fonctionnel de son offre et pouvoir supporter un vaste éventail de cas d’usage, jusqu’au CIAM, PAM ou même l’IGA.

Les allégations de Lapsus$ n’ont pas manqué de faire grand bruit dans le monde de la sécurité de l’information. Chez Wavestone, Matthieu Garin fait état de sollicitations pour des recommandations, et d’en partager plusieurs, relevant notamment de la recherche d’indices de compromission éventuelle, surtout « sans paniquer ni réagir trop vite ».