Okta engagé dans une bataille de com avec des cybercriminels

Okta a-t-il été victime d’une intrusion ? Depuis un peu moins de vingt-quatre heures, l’entreprise américaine s’en défend publiquement. Ses déclarations à ce sujet n’ont pas été spontanées : elles sont intervenues après la diffusion de captures d’écran par un collectif cybercriminel. En l’occurrence, LAPSUS$, au tableau de chasse duquel figurent aussi Microsoft, NVIDIA et Samsung.

Ces screenshots – au nombre de huit – montrent une interface d’administration des services Okta. On y voit notamment des listes d’utilisateurs, des tickets Jira et une boîte de dialogue pour la réinitialisation d’un mot de passe.

Il était environ 19 heures à Paris ce mardi quand une première annonce est tombée sur le blog d’Okta. Principal message : on n’a pas infiltré notre réseau. Les captures proviennent de l’ordinateur portable d’un ingénieur support travaillant chez un sous-traitant. Les pirates y auraient eu accès entre le 16 et le 21 janvier 2022.

Quelques heures plus tard, l’annonce était mise à jour. Avec un élément en particulier : une estimation du nombre de clients potentiellement touchés. Ou plutôt de la proportion : 2,5 %. Tous « identifiés et alertés par mail ».

Okta dénonce son sous-traitant Sitel

Okta a fini par révéler, dans un deuxième post, l’identité du sous-traitant : Sitel, un groupe multinational que contrôle la famille Mulliez.

Ce deuxième post présente une chronologie des événements. On en retiendra les points suivants (heure de Paris) :

– Le 20 janvier 2022 à 0 h 18 : Okta reçoit une alerte. On a tenté – sans y parvenir – d’ajouter un facteur MFA sur le compte d’un ingénieur support de Sitel

– Environ une heure plus tard, Okta suspend le compte dudit ingénieur et notifie Sitel.

– Dans la soirée du 21 janvier, Okta partage des indicateurs avec Sitel, qui affirme avoir lancé une enquête avec l’appui d’un spécialiste de l’analyse forensique.

– L’enquête se termine le 28 février. Sitel en reçoit les conclusions le 10 mars. Il transmet un résumé à Okta le 17 mars.

– Le rapport complet arrive le 22 mars… après les révélations de LAPSUS$. Okta se dit « très déçu » d’un tel timing ; non sans reconnaître qu’il « [aurait] dû réagir plus promptement » une fois le résumé entre ses mains.

« Moindre privilège »

D’après Okta, les pirates ont accédé au poste de l’ingénieur sur RDP. Les dégâts, nous assure-t-on, sont « limités ». En tout cas aux permissions dont disposait l’intéressé. Okta évoque les trois éléments susmentionnés (accès aux tickets Jira, consultation des listes d’utilisateurs, reset de mot de passe), difficilement niables car présents sur les captures d’écran. Pour le reste, sa communication s’axe comme suit : les tâches d’administration sont réalisées avec une application interne (SuperUser), conçue sur le principe du « moindre privilège ». Les ingénieurs ne peuvent réaliser que des tâches « basiques » sur les locataires Okta. Et en aucun cas, entre autres, ajout ou supprimer des utilisateurs, télécharger des bases de données de clients ou accéder à des dépôts de code source.

Dans ce même post, Okta précise son estimation des victimes potentielles : 366, « dans le pire des cas ». C’est-à-dire en considérant l’ensemble des accès de tous les employés de Sitel sur les cinq jours en question (125 000 logs).

Pour accéder aux demandes de support, les ingénieurs de Sitel ont un accès à plusieurs canaux de communication d’Okta. Dont Slack, Splunk, RingCentral et Salesforce. LAPSUS$ semble y avoir aussi eu accès. Et à l’en croire, il y a eu des surprises. Dont celle de trouver des secrets AWS sur des canaux Slack. C’est tout du moins ce qu’on peut lire sur le Telegram où le groupe a relayé les captures d’écran.

LAPSUS$ ne s’est pas arrêté là. Il a littéralement publié une « réponse à charge ». En insistant notamment sur leur capacité à « compromettre bien des systèmes » en réinitialisant mots de passe et facteurs d’authentification.

Microsoft enquêteur et victime

Parallèlement à Okta, Microsoft a confirmé avoir été victime de LAPSUS$. Ce dernier avait publié, lundi, une archive d’une vingtaine de Go. Elle s’est avérée contenir du code source de Bing, Bing Maps et Cortana.

Microsoft livre surtout une analyse du groupe cybercriminel. Parmi les points-clés :

– Exploitation de techniques destructives, sans déployer de ransomwares

– Premières cibles au Royaume-Uni et en Amérique latine, avant globalisation

– Connu pour attaquer des comptes sur des plates-formes d’échange de cryptomonnaies

– Pratique le social engineering par téléphone

– Recrute publiquement des « insiders » qui pourraient leur fournir des accès

Illustration principale © phoelix – Shutterstock