Comme rapporté par le site KrebsOnSecurity, Okta, une entreprise qui fournit des outils d’identité tels que l’authentification multifacteur et l’authentification unique à des milliers d’entreprises, a subi une cyberattaque induisant une compromission de son unité de support client. Okta affirme que l’incident a touché un « très petit nombre » de clients, mais il semble que les pirates informatiques responsables aient eu accès à la plateforme d’assistance d’Okta pendant au moins deux semaines avant que l’entreprise ne maîtrise complètement l’intrusion.
Pour rappel, Okta propose un service de gestion des identités et des accès (IAM) basé sur le cloud, permettant aux utilisateurs des entreprises clientes de se connecter à leurs applications et appareils. Il est utilisé par plus de 17 000 clients dans le monde entier.
Offrez un café pour soutenir cette veille indépendante
☕ Je soutiens DCOD
Quelques semaines seulement après le piratage des casinos Caesar et MGM
Dans un avis envoyé le 19 octobre à un certain nombre de clients, Okta a fait savoir qu’une activité suspecte avait été détectée. Cette activité consistait à exploiter l’accès à un identifiant volé pour accéder au système de gestion des dossiers d’assistance d’Okta.
L’acteur malveillant a ainsi pu visualiser les fichiers téléchargés par certains clients d’Okta dans le cadre de récents cas d’assistance. Okta a expliqué que lorsqu’il résout des problèmes avec ses clients, il leur demande parfois d’enregistrer une session de navigation web (c’est-à-dire un fichier HAR ou une archive HTTP). Ces fichiers sont extrêmement sensibles car ils contiennent les cookies et les jetons de session des utilisateurs, que les individus malveillants peuvent exploiter pour usurper l’identité de personnes légitimes.
Comme le rappelle Brian Krebs dans son article ci-dessous, la divulgation d’Okta intervient quelques semaines seulement après le piratage des géants des casinos Caesar’s Entertainment et MGM Resorts . Dans les deux cas, les attaquants ont réussi à inciter les employés à réinitialiser les exigences de connexion multifacteur pour les comptes d’administrateur Okta.
Déjà des exploitations de ce vol de jetons de sesssion
Comme rapporté par ARS Technica, 1Password, un gestionnaire de mots de passe utilisé par des millions de personnes et plus de 100 000 entreprises, a déclaré avoir détecté une activité suspecte sur un compte d’entreprise fourni par Okta, le service d’identité et d’authentification qui a révélé une violation vendredi.
« Le 29 septembre, nous avons détecté une activité suspecte sur notre instance Okta que nous utilisons pour gérer nos applications destinées aux employés », a écrit Pedro Canahuati, directeur technique de 1Password, dans un e-mail. « Nous avons immédiatement mis fin à l’activité, avons effectué une enquête et n’avons constaté aucune compromission des données utilisateur ni d’autres systèmes sensibles, que ce soit pour les employés ou les utilisateurs ». »
Pour en savoir plus
💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.
Vous appréciez nos analyses ?
Soutenez DCOD en offrant un café ☕
