Okta : une brèche plus étendue, mais à la gravité limitée

Fin octobre, Okta a révélé qu’un acteur malveillant avait piraté son système de gestion des demandes de support, en utilisant un ensemble d’informations d’authentification volées, puis a consulté des fichiers d’archives HTTP de cas de support client récents (HAR) contenant des jetons de session. Ces derniers auraient ensuite été détournés pour tenter d’accéder aux comptes concernés. 

BeyondTrust, Cloudflare ou encore 1Password ont révélé par la suite avoir été concernés. Ils n’étaient pas les seuls, sauf à l’être à ce point. 

Dans un billet de blog, David Bradbury, CSO d’Okta, explique aujourd’hui que d’autres clients de l’éditeur ont été exposés, quoique de manière bien moindre. 

Ainsi, selon lui, l’enquête interne menée par Okta a permis d’établir que l’acteur malveillant a, le 28 septembre, demandé une extraction susceptible de lui fournir de nombreuses informations sur les utilisateurs enregistrés dans le système de support technique de l’éditeur : dernière connexion, nom complet, nom d’utilisateur, adresse e-mail, entreprises, type d’utilisateur, adresse, rôle, numéro de téléphone mobile, notamment. 

De quoi, sur le papier, conduire des campagnes très ciblées en ingénierie sociale. Las, assure David Bradbury, « la majorité des champs du rapport sont vides et le rapport ne contient pas d’informations d’identification de l’utilisateur ni de données personnelles sensibles ». 

Pire encore, pour l’acteur malveillant, « pour 99,6 % des utilisateurs figurant dans le rapport, les seules informations de contact enregistrées sont le nom complet et l’adresse électronique ».

David Bradbury n’est pas dupe : ces informations peuvent toutefois être utilisées pour essayer de viser les clients d’Okta en hameçonnage ou ingénierie sociale. Et cela d’autant plus que « les clients d’Okta se connectent au système de support client d’Okta avec les mêmes comptes que ceux qu’ils utilisent dans leur propre organisation Okta ». 

En outre, « de nombreux utilisateurs du système de support client sont des administrateurs Okta ». Dès lors, « il est essentiel que ces utilisateurs disposent d’une authentification multifactorielle (MFA) pour protéger non seulement le système de support client, mais aussi pour sécuriser l’accès à leur(s) console(s) d’administration Okta », indique le CSO de l’éditeur. 

Selon lui, déjà 94 % des clients de l’éditeur exigent la MFA pour leurs administrateurs. Mais il recommande que « tous les clients d’Okta utilisent le MFA et envisagent d’utiliser des authentificateurs résistant au phishing, pour renforcer leur sécurité ».