En octobre 2023, Okta, l’un des principaux fournisseurs de solutions de gestion des identités et des accès (IAM), a été victime d’une violation de données affectant son système de support client. Cet incident a suscité de vives inquiétudes quant à la sécurité des informations sensibles confiées à Okta par ses clients et partenaires.
Chronologie des événements
La violation de données d’Okta a commencé par un incident apparemment innocent concernant les activités personnelles d’un employé sur un ordinateur portable professionnel.
Accès initial
Les attaquants ont compromis un employé d’Okta qui s’est connecté à son profil Google personnel sur le navigateur Chrome de son ordinateur portable géré par Okta et a sauvegardé les informations d’identification de son compte de service Okta sur son compte Google personnel. La compromission initiale de son compte personnel a probablement impliqué un hameçonnage ou une autre technique d’ingénierie sociale.
Comme l’employé a utilisé le compte Google compromis sur un ordinateur portable professionnel, ce dernier a été infecté par un logiciel malveillant. Ce logiciel malveillant a permis aux attaquants d’accéder au système d’assistance d’Okta et d’exploiter les fichiers HAR non nettoyés soumis par les clients. En utilisant ces fichiers, l’attaquant a extrait les jetons de session des clients d’Okta – 1Password, BeyondTrust, Cloudflare et deux autres sociétés non nommées.
En contrôlant ces sessions et ces comptes d’administrateur, le hacker a tenté de pénétrer plus profondément dans les systèmes internes de ces entreprises. Cependant, les efforts du pirate ont été largement infructueux et il a été rapidement éjecté.
Comme le révèle la chronologie de l’enquête partagée par Okta, c’est 1Password qui a initialement alerté Okta Support d’activités inhabituelles le 29 septembre 2023. Pourtant, ce n’est que 14 jours plus tard, et suite à un indicateur de compromission de BeyondTrust, que l’utilisation abusive d’un compte de service a été identifiée comme étant le coupable.
Let’s take a look at the events as they unfolded.
Sept. 29, 2023
1Password, un client d’Okta, a d’abord détecté une activité suspecte et en a informé Okta. Le service de sécurité d’Okta a ouvert une enquête, soupçonnant que 1Password avait probablement été victime d’une infection par un logiciel malveillant ou d’une escroquerie par hameçonnage.
Oct. 2, 2023
BeyondTrust a identifié et neutralisé une attaque centrée sur l’identité d’un compte administrateur interne d’Okta et a ensuite notifié à l’assistance Okta un indicateur de compromission (c’est-à-dire une adresse IP) associé à l’événement.
Oct. 11, 2023
Une réunion virtuelle a été organisée entre BeyondTrust et l’équipe de sécurité d’Okta. BeyondTrust a partagé ses conclusions et a demandé à Okta des données de journal supplémentaires concernant l’accès aux données du cas de support.
Oct. 16–17, 2023
En utilisant l’adresse IP fournie, Okta Security a identifié un compte de service lié à des événements précédemment passés inaperçus dans les enregistrements du système de support client. Okta Security a ensuite désactivé le compte de service et mis fin aux sessions associées le 17 octobre, ainsi qu’aux jetons de session intégrés dans les fichiers HAR.
Oct. 19, 2023
Après près de 20 jours, la direction d’Okta Security a reconnu l’existence d’une violation interne auprès de BeyondTrust, 1Password, Cloudflare et deux autres entreprises non nommées, confirmant qu’elles figuraient parmi les clients affectés.
Fin oct. à nov. 2023
D’autres enquêtes et divulgations ont révélé l’ampleur de la violation, impliquant d’autres entreprises qui ont dû prendre des mesures de sécurité renforcées.
Nov. 29, 2023
Okta a publié des informations supplémentaires sur la violation, confirmant l’étendue et la nature de l’impact. Okta a confirmé que l’acteur de la menace avait accédé à davantage de rapports et de dossiers de support, qui comprenaient les coordonnées de tous les utilisateurs certifiés d’Okta, de certains contacts clients d’Okta Customer Identity Cloud (CIC), et de diverses autres informations, y compris des informations sur certains employés d’Okta. Okta a toutefois précisé que ces informations de contact ne contenaient pas d’identifiants d’utilisateurs ni de données personnelles sensibles.
Déc. 2023
Okta a révélé que des attaquants avaient téléchargé un rapport contenant les noms et les adresses électroniques de tous les utilisateurs du système de support client d’Okta. Ces informations pourraient être utilisées pour des attaques par hameçonnage ou à d’autres fins malveillantes.
Impact de la brèche
Okta a indiqué que les auteurs de la menace ont eu accès à des fichiers associés à 134 clients d’Okta, soit moins de 1 % de ses clients. Par ailleurs, voici quelques aspects clés de l’impact de cette brèche :
-
Perte de la confiance et de la réputation des clients : Okta, qui est un important fournisseur de services de gestion des identités et des accès, a vu sa réputation entamée. La confiance est cruciale dans le secteur de la cybersécurité, et les violations de ce type peuvent entraîner une perte de confiance chez les clients existants et potentiels. À la suite de la violation de données, les actions d’Okta ont chuté de 11 %.
-
Les données des clients ont été compromises : La violation a entraîné un accès non autorisé à des données sensibles de clients. Pour des entreprises comme 1Password, BeyondTrust, Cloudflare et d’autres, cela signifie une exposition potentielle de leurs systèmes internes et des données des utilisateurs, ce qui soulève des inquiétudes en matière de confidentialité et de sécurité.
-
Perturbation des opérations : Pour les clients concernés, la violation aurait pu entraîner des perturbations opérationnelles. Si la réaction rapide a permis d’atténuer les conséquences graves, la nécessité de mener des enquêtes et de renforcer les mesures de sécurité a pu perturber le fonctionnement normal des entreprises.
-
Tentatives de prise de contrôle de comptes : Les jetons de session volés peuvent être utilisés pour obtenir un accès non autorisé aux comptes des clients. Cela permet aux attaquants de voler des données confidentielles, de perturber les opérations ou même de se faire passer pour des utilisateurs autorisés afin d’obtenir d’autres accès au sein de l’entreprise.
Leçons tirées et meilleures pratiques
La violation de données d’Okta présente des leçons précieuses pour les organisations de toutes tailles.
-
Implémenter l’authentification multi-facteurs (MFA) : Selon le rapport d’Okta, le compte de service utilisé par les attaquants pour voler les jetons de session était enregistré dans le système lui-même. L’ajout de l’authentification multifactorielle comme couche supplémentaire de sécurité pour les connexions, même pour les profils élevés rarement accédés tels que les comptes de service, rend beaucoup plus difficile pour les attaquants d’obtenir l’accès avec des informations d’identification volées. La sécurisation de l’accès des administrateurs par l’implémentation de la MFA peut grandement contribuer à empêcher les acteurs de la menace d’accéder à des données sensibles.
-
Sensibiliser les employés à la cybersécurité : La violation de données d’Okta a commencé par la compromission d’un compte personnel. Former les employés à reconnaître les tentatives d’hameçonnage et les tactiques d’ingénierie sociale les rend moins sensibles à de telles attaques.
-
Appliquer des politiques de mots de passe et des contrôles d’accès robustes : Mettez en œuvre des politiques de mots de passe solides et imposez des changements réguliers de mots de passe pour minimiser le risque de compromission des informations d’identification. Limiter l’accès aux informations sensibles sur la base du principe du moindre privilège et surveiller l’activité des utilisateurs pour détecter les anomalies.
-
Utiliser des systèmes d’analyse des entités et du comportement des utilisateurs (UEBA) : Les systèmes UEBA se concentrent sur la compréhension du comportement normal des utilisateurs et des entités, tels que les appareils ou les applications, au sein d’une organisation, puis sur l’identification des écarts par rapport à cette norme, qui pourraient indiquer une menace pour la sécurité. La mise en œuvre d’une analyse comportementale basée sur la ML permet de repérer les comportements suspects tels que la création de comptes avec porte dérobée, qui peuvent passer inaperçus et accorder aux attaquants un accès prolongé au réseau.
La violation des données d’Okta nous rappelle brutalement que le paysage des cybermenaces est périlleux et qu’il est important de mettre en place des mesures de sécurité solides. Les organisations doivent être vigilantes dans la protection de leurs informations sensibles et dans l’implémentation de pratiques de sécurité solides pour réduire le risque de cyber-attaques.
Log360, la solution SIEM unifiée de ManageEngine avec des capacités DLP et CASB intégrées, peut détecter les logiciels suspects et l’installation de logiciels malveillants, les exécutions de code à distance, les mouvements latéraux, et bien plus encore.
Restez à l’écoute pour la deuxième partie de cette série, dans laquelle nous explorerons le rôle d’une solution de sécurité dans l’identification et le traitement rapides des violations de données.
Source : Understanding the Okta supply chain attack of 2023: A comprehensive analysis by Harshni MV