Okta confirme le piratage : voici les dernières infos !

L'entreprise Okta, spécialisée dans les services d'authentification, a confirmé que l'attaque informatique revendiquée par le groupe LAPSUS$ est bien réelle. Voici les dernières infos !

Okta est une entreprise américaine spécialisée dans les services d'authentification : une entreprise peut déléguer l'authentification à ses services en s'appuyant sur ceux d'Okta : la gestion des mots de passe, le MFA, ainsi que le portail en libre-service des utilisateurs, dans le but de contrôler l'accès à des applications et au réseau de l'entreprise.

Voilà, c'est officiel ! L'entreprise Okta qui vient s'ajouter à la liste des victimes du groupe de cybercriminels LAPSUS$ ! Cela confirme que les copies d'écran publiées sur Telegram par les hackers sont authentiques et qu'elles correspondent bien à l'environnement informatique interne de l'entreprise Okta.

Okta a confirmé que l'ordinateur portable d'un ingénieur du support avait été compromis et que les pirates ont pu y accéder sur une période de 5 jours, à savoir du 16 au 21 janvier 2022. Cet ingénieur du support avait l'autorisation de réinitialiser les mots de passe pour les clients d'Okta, donc les hackers ont eu accès à cette fonction. La société américaine affirme que les copies d'écran publiées par le groupe LAPSUS$ correspondent à l'accès effectué avec le compte de cet ingénieur du support.

Sur les copies d'écran, on peut voir l'adresse e-mail d'un employé d'Okta qui dispose visiblement des droits de super-utilisateur sur la plateforme, ce qui lui permet de lister les utilisateurs, réinitialiser les mots de passe, réinitialiser le MFA ou encore accéder aux tickets d'assistance. Néanmoins, Okta affirme que cet accès ne permet pas de créer ou supprimer des utilisateurs ni d'obtenir les mots de passe des comptes.

D'après eux, cette attaque informatique touche 2,5% de leurs clients, ce qui correspondrait à environ 375 entreprises. Toutes les entreprises impactées vont être contactées par les équipes d'Okta. À l'heure actuelle, Okta compte plus de 10 000 clients, dont de grandes entreprises, et la solution permet de s'authentifier auprès de nombreux services comme Zoom, AWS, Confluence, Splunk, Salesforce ou encore Jira.

Okta confirme le piratage
Exemple d'une capture d'écran Okta publiée par le groupe LAPSUS$

Le groupe LAPSUS$ n'est pas tout à fait d'accord avec Okta

Si l'on regarde ce que disent les cybercriminels du groupe LAPSUS$, leur version de l'histoire est différente. Surtout, s'ils disent vrai c'est particulièrement inquiétant. En fait, Okta n'est pas visé directement, mais ce sont les clients d'Okta qui intéressent les hackers : d'où l'intérêt de compromettre ce fournisseur de services d'authentification afin de réaliser des attaques de type supplychain.

Les hackers affirment qu'ils ont eu un accès super-utilisateur sur le portail et que cet accès permettait de réinitialiser les mots de passe et le MFA pour environ 95% des clients d'Okta. Ils affirment également qu'ils n'ont pas compromis l'ordinateur portable d'un ingénieur support d'Okta, mais un client léger.

Okta devrait publier de nouvelles informations dans la journée, d'après la dernière mise à jour du communiqué officiel. Quoi qu'il en soit, cette attaque aura très probablement des répercussions sur d'autres entreprises.

Le groupe de hackers LAPSUS$ semble inarrêtable et enchaîne les attaques informatiques contre les grandes entreprises. Après avoir compromis l'infrastructure de NVIDIA, Samsung en publiant 190 Go de données, le site de e-commerce MercadoLibre, ainsi que le géant du jeu-vidéo Ubisoft.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4110 posts and counting.See all posts by florian

2 thoughts on “Okta confirme le piratage : voici les dernières infos !

  • Erreur dans le texte, les entreprises citées ne sont pas clientes d’Okta ! Dans votre screenshot il s’agit d’un portail de SSO vers ces différents services, pour que l’utilisateur y soit redirigé sans saisir de password. Rien à voir.

    Répondre
    • Hello,
      En l’occurrence oui vous avez raison, je vais corriger pour que la phrase soit cohérente avec l’image juste en dessous.
      Merci.
      Florian

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.