Posté le mars 22, 2022 à 9:43
DES MILLIERS D’ENTREPRISES PLACÉES EN ALERTE ROUGE APRÈS LE PIRATAGE D’OKTA PAR LAPSUS$
Le principal fournisseur de services d’authentification Okta déclare qu’il enquête sur un incident de violation de données sur son serveur. Cette annonce intervient à peine 24 heures après que le groupe de ransomware Lapsus$ a publié des captures d’écran sur son canal Telegram, révélant ce qu’il prétend être des données clients et des consoles d’administration volées à Okta.
Okta est une société cotée en bourse avec une capitalisation boursière de plus de 6 milliards de dollars et plus de 5 000 employés à travers le monde. La société offre des services d’authentification et de gestion des identités à des organisations de premier plan dans le monde entier, notamment Starling Bank, Pret a Merger, Siemens et ITV.
Okta a déclaré avoir détecté une tentative de piratage visant à infiltrer le compte de l’un de ses ingénieurs de support client tiers travaillant pour l’un de ses sous-traitants. La société a déclaré avoir immédiatement enquêté et maîtrisé l’affaire. Okta dit croire que les captures d’écran partagées par le groupe Laspsus$ sont liées à l’incident de piratage qui a eu lieu en janvier.
« Sur la base de notre enquête à ce jour, il n’y a aucune preuve d’une activité malveillante continue au-delà de l’activité détectée en janvier », a déclaré Okta.
Mais d’après l’une des captures d’écran publiées par le groupe, Lapsus$ pouvait modifier les mots de passe des clients en utilisant le panneau d’administration d’Okta.
L’attaque du groupe Lapsus$ vise à voler les informations des clients
D’après la nature de l’attaque et ce qui a été volé, il semble que la principale zone d’intérêt ne soit pas la base de données de l’entreprise mais les détails contenant les informations des clients.
Les chercheurs et analystes en sécurité craignent que les acteurs de la menace aient pu utiliser l’accès « super utilisateur » pour compromettre les serveurs des clients qui utilisent les solutions d’authentification de l’entreprise.
Lapsus$ a également confirmé cette théorie lorsqu’il a commencé à dire qu’il n’avait pas attaqué Okta pour voler les bases de données de l’entreprise mais pour cibler ses clients.
Ce sera un problème majeur pour de nombreuses entreprises qui utilisent le service d’Okta, parmi lesquelles JetBlue, Hewlett Packard Enterprise, SONOA, Peolton, T-Mobile et FedEx.
Lapsus$ en pleine campagne de piratage
Le dernier incident de piratage fait suite aux affirmations du groupe Lapsus$ selon lesquelles il a infiltré le serveur interne Azure DevOps de Microsoft. Le groupe a récemment divulgué 37 Go de code de données volées provenant de Cortana, Bing et d’autres projets Microsoft. Microsoft a déclaré que l’incident fait toujours l’objet d’une enquête.
Par ailleurs, le groupe a affirmé avoir infiltré la base de données de LG Electronics pour la deuxième fois cette année, bien que LG Electronics n’ait pas encore confirmé ces affirmations.
Lapsus$ a terrorisé les entreprises et les grandes sociétés cette année. Le groupe a déjà divulgué des données exclusives prétendument volées à de grandes entreprises comme Mercado Libre, NVIDIA et Samsung. Ces entreprises ont également confirmé qu’elles avaient subi une violation.
Lapsus$ ne procède pas comme les autres gangs de ransomware qui cryptent des fichiers confidentiels et demandent une rançon avant de les décrypter et de les rendre publics.
Le groupe vole et conserve les données exclusives de ses victimes et les publie lorsque les demandes de rançon ne sont pas satisfaites.
On ne sait pas exactement combien de clients ont été touchés
Lapsus$ a été très actif ces dernières semaines, les grandes entreprises étant désormais en alerte rouge en ce qui concerne la sécurité de leurs serveurs face au groupe.
Outre les captures d’écran des données volées, le groupe de hackers Lapsus$ a également souligné la faiblesse des mesures de sécurité d’Okta, qui ont permis au groupe d’y accéder facilement.
« Pour un service qui alimente les systèmes d’authentification de plusieurs des plus grandes entreprises, je pense que ces mesures de sécurité sont plutôt médiocres […] », déclare le groupe.
Si la violation revendiquée par Lapsus$ était avérée, on ne sait toujours pas combien de victimes seront touchées et dans quelle mesure.
Plusieurs organisations placées en alerte rouge
Okta a noté que sur la base de son enquête, la capture d’écran partagée sur le site Telegram semble se rapporter à l’incident de sécurité « container » qui s’est produit en janvier de cette année. Le président-directeur général de Cloudflare, Mathew Prince, a commenté le problème dans un tweet.
Il a déclaré que, bien que l’entreprise soit consciente qu’Okta ait pu faire l’objet d’une violation, rien ne prouve que Cloudflare ait été affecté. Il a ajouté que Cloudflare se vante d’avoir plusieurs couches de sécurité au-delà d’Okta, et qu’il ne les considère pas comme une option standard pour sa sécurité.
D’autres fournisseurs de technologie et clients d’Okta n’ont pas fait de commentaires sur cette affaire. Alors que l’enquête sur l’ensemble de la situation est en cours, de plus amples informations sur la violation et son impact sur les entreprises affiliées seront bientôt connues. La dernière exposition de la base de données d’Okta a mis plusieurs organisations en état d’alerte rouge, notamment vis-à-vis du groupe Lapsus$, de plus en plus notoire.