L’impact de l’attaque de Lapsus$ sur Okta est moins que redouté

L’enquête médico-légale sur la fuite en mars 2022 des données des clients d’Okta par le gang de cybercriminalité Lapsus$ a conclu que son impact était nettement moins grave qu’il ne le craignait initialement.

On pensait que Lapsus$ avait pris le contrôle du poste de travail d’un agent de support client Sitel en exploitant le service RDP (Remote Desktop Protocol) entre le 16 et le 21 janvier 2022, d’où ils ont pu accéder aux dossiers d’environ 360 entreprises, représentant moins de 3% de la clientèle d’Okta.

Cependant, il a maintenant constaté que Lapsus$ contrôlait activement le poste de travail Sitel pendant seulement 25 minutes le 21 janvier, et pendant cette fenêtre très limitée, n’accédait qu’à deux locataires clients actifs dans l’application SuperUser et affichait des informations supplémentaires limitées dans Slack et Jira qui n’auraient jamais pu être utilisées pour effectuer des actions dans les clients Okta.

Lapsus$ n’a pas été en mesure d’effectuer des modifications de configuration, de l’authentification multifacteur (MFA) ou des réinitialisations de mot de passe, ni d’usurper l’identité d’agents du support client. Il ne pouvait pas non plus s’authentifier directement sur les comptes Okta.

« Bien que l’impact global du compromis ait été déterminé comme étant nettement inférieur à celui que nous avions initialement prévu, nous reconnaissons le lourd tribut que ce type de compromis peut avoir sur nos clients et leur confiance en Okta », a déclaré David Bradbury, responsable de la sécurité chez Okta.

Bradbury a déclaré qu’Okta avait répondu « avec transparence » et s’était pleinement engagé avec chacun des deux clients touchés par SuperUser pour « démontrer notre engagement à reconstruire leur confiance et à travailler à leurs côtés pour réaffirmer la sécurité de leur service Okta ».

Il a maintenant fourni à tous les clients qu’il croyait initialement avoir été touchés par le rapport final de criminalistique et un plan d’action de sécurité énonçant des propositions à long et à court terme pour améliorer sa façon de travailler avec des tiers – tels que Sitel, qu’Okta a maintenant abandonné – qui ont accès à ses systèmes de support client.

« Nous reconnaissons à quel point il est essentiel de prendre des mesures pour rétablir la confiance au sein de notre clientèle et de notre écosystème plus larges », a déclaré Bradbury. « Les conclusions du rapport médico-légal final n’enlèvent rien à notre détermination à prendre des mesures correctives visant à prévenir des événements similaires et à améliorer notre capacité à réagir aux incidents de sécurité.

« Cela commence par l’examen de nos processus de sécurité et la recherche de nouvelles façons d’accélérer les mises à jour de tiers et en interne pour les problèmes potentiels, grands et petits. Nous continuerons à travailler pour évaluer les risques potentiels et, si nécessaire, communiquer avec nos clients aussi rapidement que possible. »

À l’avenir, les tiers devront se conformer aux nouvelles exigences de sécurité, y compris l’adoption d’architectures de sécurité zero-trust, et s’authentifier via la propre solution IDAM d’Okta sur toutes les applications de travail.

Il prévoit également de gérer directement tous les appareils tiers qui accèdent à son outil de support client pour améliorer la visibilité et le temps de réponse, et de modifier l’outil pour limiter ce que les ingénieurs du support technique peuvent voir.

Enfin, Okta se lance dans une révision de ses processus de communication client et prévoit d’introduire de nouveaux systèmes pour mieux parler à ses utilisateurs de la disponibilité et de la sécurité des services.

« Les clients d’Okta sont notre fierté, notre objectif et notre priorité numéro un », a déclaré Bradbury. « Nous sommes peinés par le fait que, bien que la technologie d’Okta ait excellé pendant l’incident, nos efforts pour communiquer sur les événements de Sitel n’aient pas répondu aux attentes de nos propres clients et de celles de nos clients. »

Lucas Budman, PDG de TruU, qui a un intérêt en tant que spécialiste de l’authentification, a commenté : « C’est formidable d’entendre que les clients d’Okta ont été moins touchés que prévu. Toutefois, cette violation était évitable. Les gens supposent qu’ils sont protégés par l’AMF, mais la réalité est qu’elle n’est pas vraiment multi.

« Mots de passe et deuxième facteur [2FA] les technologies sont facilement compromises. Il est temps pour l’industrie de s’éloigner de l’utilisation de formes d’identification faibles et de se tourner vers une authentification véritablement sans mot de passe, basée sur l’AMF. »