La faille 1Password Okta a été dévoilée par les autorités et les professionnels de la cybersécurité ont fait sourciller à ce sujet. Regardons-le de plus près.
1Password, un gestionnaire de mots de passe largement utilisé par les particuliers et les entreprises, a attiré l’attention sur une faille de sécurité inquiétante liée à Okta, un important fournisseur de services d’identité et d’authentification. Cet incident a soulevé d’importantes questions sur la cybersécurité et ses implications. Nous fournissons ici un aperçu simple de l’incident.
La découverte de la faille 1Password Okta
Le directeur de la technologie de 1Password, Pedro Canahuati, a signalé une activité suspecte le 29 septembre. L’activité a été détectée sur le compte Okta de 1Password, qui joue un rôle crucial dans la gestion des applications utilisées par les employés, a déclaré TechCrunch. La réponse a été rapide : l’activité suspecte a été stoppée et une enquête approfondie a été ouverte. Il est important de noter que l’enquête n’a révélé aucune compromission des données des utilisateurs ou des systèmes sensibles, que ce soit pour les employés ou les utilisateurs.
Mais l’enquête ne s’est pas arrêtée là. En étroite collaboration avec Okta, 1Password a cherché à comprendre comment l’attaquant avait accédé au compte. Par la suite, il a été confirmé que cette faille était liée à celle précédemment révélée par Okta concernant son système de gestion du support client.
Décomposer le Violation de données Okta: Ce qui s’est passé?
Détails de la violation de 1Password Okta en octobre 2023
Okta a révélé qu’une partie non autorisée avait eu accès à son système de gestion des dossiers d’assistance client. De là, cet intrus a accédé aux fichiers téléchargés par différents clients Okta. Ces fichiers contenaient des données d’archive HTTP (HAR), un outil utilisé par le personnel d’assistance d’Okta pour répliquer l’activité du navigateur à des fins de dépannage. À l’intérieur de ces fichiers se trouvaient des cookies d’authentification sensibles et des jetons de session qui, entre de mauvaises mains, pourraient être utilisés à des fins d’usurpation d’identité.
De plus, la société de sécurité BeyondTrust a joué un rôle clé dans la découverte de cette intrusion. Ils ont détecté la violation lorsqu’un attaquant a tenté d’utiliser des cookies d’authentification valides pour accéder à leur compte Okta. Même si l’attaquant a pu effectuer quelques actions limitées, les contrôles d’accès de BeyondTrust se sont révélés efficaces, empêchant tout accès ultérieur. Il s’agit notamment du deuxième client Okta connu à être ciblé par une attaque ultérieure.
Réponse et actions de 1Password
Pour l’instant, 1Password n’a pas divulgué de détails détaillés sur l’incident. Dans un communiqué publié lundi, l’entreprise est restée relativement silencieuse et les questions sont restées sans réponse. Cependant, un rapport du 18 octobre suggère que l’attaquant avait obtenu un fichier HAR créé par un employé informatique de 1Password lors d’interactions avec le support Okta. Ce fichier contenait un enregistrement complet de toutes les communications entre le navigateur de l’employé et les serveurs d’Okta, y compris les cookies de session sensibles.
La brèche est allée plus loin que cela ; l’attaquant a également infiltré le locataire Okta de 1Password, une plate-forme importante pour la gestion des accès et des privilèges du système. Ils avaient également accès aux affectations de groupe, ne laissant aucune trace dans les journaux d’événements. La violation a été révélée lorsque l’équipe informatique de 1Password a reçu un e-mail inattendu, ce qui a déclenché une enquête plus approfondie. Cela a conduit à alerter les équipes d’intervention en matière de sécurité et à prendre des mesures rapides pour renforcer les configurations de sécurité.
Pour donner une idée plus claire de la nature de l’intrusion, voici un résumé des actions entreprises par l’attaquant publié par Ars Technica:
- J’ai tenté d’accéder au tableau de bord Okta de l’employé informatique, mais j’ai été bloqué.
- Mise à jour d’un fournisseur d’identité (IDP) existant lié à l’environnement Google de 1Password.
- Activé l’IDP.
- Demandé un rapport sur les utilisateurs administratifs.
Ce n’est pas la première fois qu’Okta est confronté à un incident de sécurité. Avant cette violation, leur code source avait été volé en décembre 2022, et en janvier 2022, des pirates avaient révélé publiquement des captures d’écran du réseau interne d’Okta. La récente violation a eu des implications financières importantes, le cours de l’action Okta ayant chuté de plus de 11 %, entraînant une dévaluation substantielle de l’entreprise, effaçant au moins 2 milliards de dollars de sa valeur marchande.
En conclusion, même si ces incidents de cybersécurité peuvent susciter des inquiétudes, les réponses rapides et proactives des organisations concernées incitent à l’optimisme. Ils soulignent l’importance de mesures de sécurité robustes dans un paysage numérique en constante évolution. Nous continuerons de surveiller cette situation pour suivre l’évolution de la situation, car le monde de la technologie reste vigilant face à l’évolution des cybermenaces.
Crédit image en vedette : Alex Chumak/Unsplash
