Piratage d’Okta : Le sous-traitant Sitel pointé du doigt

Piratage d'Okta : Le sous-traitant Sitel pointé du doigt

Sitel serait la tierce partie responsable du récent incident de sécurité subi par Okta.

Ce mercredi, David Bradbury, responsable de la sécurité chez Okta, déclarait à ce sujet que l’incident était « une source d’embarras pour moi-même et toute l’équipe d’Okta ».

publicité

Des captures d’écran de l’intrusion

Pour rappel, le groupe cybercriminel Lapsus$ a publié en début de semaine des captures d’écran semblant indiquer qu’il a obtenu l’accès à « Okta.com Superuser/Admin et divers autres systèmes ». Suite à cet incident, la société de services d’authentification a annoncé qu’une enquête interne était en cours.

Selon Okta, l’intrusion a pu avoir lieu dans une fenêtre de cinq jours. « Le rapport du cabinet d’expertise judiciaire a mis en évidence qu’il y avait une fenêtre de cinq jours, entre le 16 et le 21 janvier 2022, pendant laquelle les cyberattaquants avaient accès à l’environnement Sitel, ce que nous avons validé avec notre propre analyse », raconte David Bradbury.

Selon lui, l’ordinateur portable d’un ingénieur du service clientèle a été la source de l’intrusion, et l’appareil était « détenu et géré par Sitel ». Sitel est un sous-traitant d’Okta.

Accès à distance

David Bradbury a indiqué que les attaquants ont utilisé un protocole de bureau à distance (RDP) pour accéder à l’ordinateur portable.

Pour expliquer ce qui s’est passé, le responsable de la sécurité d’Okta a pris l’analogie d’un utilisateur qui « s’éloigne de son ordinateur dans un café », et d’un « étranger qui s’assoit (virtuellement dans ce cas) devant sa machine, utilisant la souris et le clavier ».

« Ainsi, alors que l’attaquant n’a jamais obtenu l’accès au service Okta via la prise de contrôle du compte, une machine qui était connectée à Okta a été compromise et ils ont pu obtenir des captures d’écran et contrôler la machine via la session RDP », ajoute-t-il.

Tentative de détournement de l’authentification multifactorielle

Après avoir analysé 125 000 entrées de connexion, la société indique que jusqu’à 366 clients pourraient avoir été impactés.

Une alerte a été émise le 20 janvier selon laquelle un nouvel ajout d’authentification multifactorielle a été « tenté » sur le compte de l’ingénieur support de Sitel. David Bradbury affirme qu’au bout de « quelques minutes », les sessions Okta ont été interrompues, dans l’attente d’une enquête. Cependant, il précise que la « tentative » d’inscription d’un nouvel appareil à l’authentification multifactorielle a « échoué ».

Un jour plus tard, des indicateurs de compromission (IoC) ont été partagés par Okta avec Sitel, qui a également engagé une aide à l’enquête. Okta a ensuite reçu un résumé de l’incident, mais le rapport complet n’a été publié qu’hier.

Un accès « fortement limité »

David Bradbury a tenu à rassurer les utilisateurs : le mode “Superuser” affiché sur les captures d’écran ne permet pas un accès « divin ». En d’autres termes, les ingénieurs de support ne peuvent utiliser leurs comptes que pour « les tâches de base et le traitement des demandes de support entrantes ».

Par conséquent, il explique que, même si les cyberattaquants ont eu accès à l’environnement Sitel, ils ont été « fortement limités ». Et d’ajouter que « nous sommes d’avis qu’aucune mesure corrective ne doit être prise par les clients ».

Toutefois, dans un souci de « transparence », les clients concernés recevront un rapport d’incident. Ce qui, selon le responsable de la sécurité, « ne fera que renforcer notre engagement en matière de sécurité ».

« Nous continuerons à travailler sans relâche pour garantir que vous disposez d’un service Okta fiable et sécurisé », ajoute-t-il.

Réaction de Sitel

« A la suite d’une violation de la sécurité survenue en janvier 2022 et touchant certaines parties du réseau de Sykes, nous avons pris des mesures rapides pour contenir l’incident et protéger tous les clients potentiellement concernés », indique à ZDNet un porte-parole de Sykes, du groupe Sitel.

Ce dernier ajoute que des mesures ont été prises par les équipes de sécurité et de technologie du groupe du monde entier, et qu’un « leader mondial de la cybersécurité a été engagé pour mener une enquête immédiate et complète sur la question ».

« A la suite de cette enquête, ainsi que de notre évaluation continue des menaces externes, nous sommes convaincus qu’il n’y a plus de risque pour la sécurité », rassure-t-il.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *