Piratage chez Okta : les pirates ont pu voler des cookies de session de plusieurs clients !
L'entreprise américaine Okta a subi une nouvelle cyberattaque importante lors de laquelle les pirates sont parvenus à voler des fichiers contenant des cookies et des jetons de session correspondant à des environnements de clients. Cette affaire est à prendre très au sérieux.
Pour rappel, Okta est une entreprise américaine spécialisée dans les services d'authentification : une entreprise peut déléguer l'authentification à ses services en s'appuyant sur ceux d'Okta : la gestion des mots de passe, le MFA, ainsi que le portail en libre-service des utilisateurs, dans le but de contrôler l'accès à des applications et au réseau de l'entreprise.
Dans un communiqué mis en ligne par Okta, nous pouvons lire : "L'acteur malveillant a pu consulter les fichiers téléchargés par certains clients d'Okta dans le cadre de récents cas d'assistance." - En effet, les cybercriminels sont parvenus à voler les informations d'identifications d'un employé d'Okta donnant accès à la solution d'Help Desk d'Okta utilisée pour gérer les tickets des clients.
Ce système est isolé de la production où se situent les serveurs liés aux services d'authentification. Toutefois, les pirates sont parvenus à voler des fichiers sensibles.
Des données sensibles dans les fichiers volés...
La solution à laquelle les pirates ont eu accès héberge des fichiers de type HTTP Archive (HAR) utilisée pour reproduire les erreurs des utilisateurs ou des administrateurs, dans le cadre de l'assistance proposée par Okta à ses clients.
Puisque Okta est spécialiste de l'authentification, ces fichiers sont susceptibles de contenir des données sensibles, notamment des cookies et des jetons de session ! En récupérant ces informations, les cybercriminels peuvent hijacker les comptes des clients d'Okta : "Les fichiers HAR représentent un enregistrement de l'activité du navigateur et peuvent contenir des données sensibles, notamment le contenu des pages visitées, les en-têtes, les cookies et d'autres données.", précise le site d'Okta. Autrement dit, les cybercriminels peuvent usurper l'identité des clients d'Okta et accéder à leur environnement.
Tous les clients d'Okta affectés par cet incident de sécurité ont déjà reçu une notification par e-mail. Ceux qui n'ont rien reçu ne sont pas affectés. Okta a révoqué les sessions affectées par cet incident de sécurité.
Quels sont les clients affectés ?
Bien que la liste complète ne soit pas disponible, nous savons que parmi les entreprises affectées il y a la solution de gestion des identités BeyondTrust, le géant américain du web Cloudflare et le gestionnaire de mots de passe 1Password.
D'ailleurs, dès le 2 octobre 2023, l'équipe de BeyondTrust a détecté et bloqué une tentative de connexion à un compte Administrateur Okta à partir d'un cookie de session volé sur la solution de Help Desk d'Okta. C'est à partir de ce moment-là qu'Okta a commencé à mener des investigations... avant d'officialiser cet incident de sécurité le 19 octobre 2023.
Le 18 octobre 2023, Cloudflare a également détecté une activité malveillante sur son environnement, comme le précise ce rapport. Là encore, c'est un jeton de session volé sur l'environnement d'Okta qui est en cause.
Ce n'est pas la première fois qu'Okta est victime d'un incident de sécurité. On se souvient d'un piratage important début 2022, lorsque le groupe de cybercriminels LAPSUS$ était à son apogée.
