Posté le avril 20, 2022 à 8:28
LE PIRATAGE DE LAPSUS$ EST NETTEMENT MOINS GRAVE QUE PRÉVUE, SELON OKTA
Alors qu’Okta conclut son enquête sur la violation de Lapsus$, la société a révélé que l’impact réel de l’attaque n’est pas aussi grave que ce que l’on craignait. La société a déclaré que son enquête a révélé que seuls deux de ses clients ont été touchés par la violation.
L’incident de piratage d’Okta s’est produit le 21 janvier, lorsque le désormais célèbre groupe de hackers Lapsus$ a eu un accès non autorisé au système informatique d’un responsable du support client de Sitel. Toutefois, la violation a été rendue publique lorsque le groupe de hackers a publié des captures d’écran des systèmes d’Okta.
L’impact est très faible
Selon le rapport final d’expertise d’une société de cybersécurité anonyme de bonne réputation, les hackers ont eu accès à un seul poste de travail utilisé par l’ingénieur d’assistance Sitel. Le rapport a révélé que le groupe avait accès aux ressources d’Okta par le biais du système de l’ingénieur.
Il a été signalé que le groupe a eu le contrôle du système pendant 25 minutes. Pendant cette période, ils ont accédé à deux locataires clients actifs dans l’application SuperUser. En outre, le groupe a consulté d’autres informations dans d’autres applications comme Jira et Slack, qui ne peuvent être utilisées pour aucune action dans les locataires clients d’Okta.
Okta a noté que l’acteur de la menace n’a pu apporter aucune modification à la configuration et n’a pas réussi à réinitialiser le mot de passe ou l’AMF, ni à se faire passer pour le service clientèle. Le groupe n’a pas non plus été en mesure de s’authentifier directement auprès d’un quelconque compte Okta.
Le responsable de la sécurité d’Okta, David Bradbury, a déclaré que l’impact global de l’attaque a été « nettement plus faible » que ce qui avait été envisagé initialement. Cependant, il a ajouté que l’entreprise reconnaît toujours l’impact qu’une telle violation peut avoir sur ses clients et leur confiance. Bradbury a déclaré qu’Okta a pris les mesures nécessaires pour offrir une meilleure protection à ses serveurs et systèmes et a fourni plus d’outils aux tiers pour sécuriser leurs systèmes contre de futures attaques.
Okta explique pourquoi les clients n’ont pas été informés à temps
Après que le groupe de menace ait publié les captures d’écran de l’attaque le 22 mars, Okta a annoncé qu’environ 366 clients avaient été touchés par l’attaque. De nombreuses personnes se sont demandées pourquoi l’entreprise a dû cacher l’incident à ses clients jusqu’à ce qu’il soit révélé par les acteurs de la menace. Cependant, Okta a expliqué qu’elle n’a pas été en mesure d’informer les clients à temps car l’intention de l’attaque de Sitel n’était pas connue à ce moment-là.
« Nous n’avons pas reconnu qu’il y avait un risque pour Okta et nos clients », a déclaré l’entreprise à l’époque.
Mais à l’issue de l’enquête, Okta a permis aux clients d’accéder au rapport forensique final sur l’incident. L’entreprise a également révélé son plan de sécurité visant à fortifier le système contre de futures attaques.
La société a déclaré qu’elle prenait plusieurs mesures pour améliorer ses garanties de sécurité et ses méthodes d’audit des sous-traitants. Les mesures de sécurité ne sont pas seulement internes mais concernent également les prestataires de services tiers.
Par exemple, elle veut rendre obligatoire l’adoption d’architectures de sécurité « Zero Trust » par les sous-traitants qui fournissent des services d’assistance pour le compte de l’entreprise. Elle a également annoncé la fin de sa relation avec Sykes/Sitel. Par ailleurs, Okta a prévu de s’impliquer directement dans la gestion de tous les appareils tiers qui accèdent à ses outils de support client. Toutes ces mesures ont été prises par l’entreprise pour renforcer sa structure de sécurité et prévenir toute nouvelle attaque réussie contre ses systèmes.
La menace grandissante du groupe de hackers Lapsus$
Lapsus$ sont un groupe de hackers relativement récent qui a gagné beaucoup de popularité en peu de temps grâce à ses nombreux exploits. Le groupe a revendiqué la responsabilité de certains des plus grands incidents de piratage de ces derniers mois, notamment l’attaque du fabricant de puces Nvidia et du géant de l’électronique Samsung.
En février, Lapsus$ a affirmé s’être introduit dans les serveurs de Nvidia et avoir volé des fichiers critiques. Le groupe a déclaré qu’il disposait de fichiers sur les pilotes de GPU Nvidia, ce qui pourrait permettre à de mauvais acteurs de convertir n’importe quel GPU Nvidia en système de minage de bitcoins.
Une semaine après cet incident, le groupe a affirmé être responsable du piratage de Samsung, où 190 Go de données ont été volés. Le groupe a également affirmé être responsable du récent piratage de Microsoft et d’Okta, les deux entreprises ayant confirmé que leurs données avaient été violées le 22 mars.
La menace croissante du groupe oblige les entreprises et les organisations de cybersécurité à sécuriser leurs réseaux et leurs serveurs. Les autorités travaillent aussi sérieusement avec des experts en sécurité pour débusquer ceux qui se cachent derrière le groupe. Le mois dernier, les autorités britanniques ont arrêté plusieurs personnes en relation avec le gang Lapsus$.
