Le gestionnaire de mots de passe 1Password et le géant de la cybersécurité et des réseaux Cloudflare ont été ciblés par des pirates informatiques à la suite de la violation affectant le fournisseur d'authentification unique Okta.
Signalé pour la première fois par Ars Technica, puis confirmé dans un article de blog directement par le directeur de la technologie de l'entreprise, Pedro Canahuati, 1Password a déclaré avoir détecté une activité suspecte sur son instance Okta liée à l'incident du système de support de l'entreprise, qui a été révélé fin septembre. "Après une enquête approfondie, nous avons conclu qu’aucune donnée utilisateur de 1Password n’avait été consultée. Le 29 septembre, nous avons détecté une activité suspecte sur notre instance Okta que nous utilisons pour gérer nos applications destinées aux employés", a déclaré Canahuati.
Dans une explication plus détaillée, 1Password a déclaré qu'un membre de son équipe informatique avait reçu le 29 septembre une notification inattendue par courrier électronique suggérant que la personne avait initié un rapport Okta contenant une liste d'administrateurs.
L'informaticien a reconnu qu'il n'avait pas initié le rapport et a alerté l'équipe de réponse aux incidents de sécurité de l'entreprise, qui a finalement retracé le problème jusqu'à son environnement Okta. Ils ont ensuite confirmé qu'un acteur malveillant avait accédé à leur compte Okta avec des privilèges administratifs.
En collaboration avec Okta, ils ont réalisé que l'incident ressemblait à une campagne plus vaste au cours de laquelle des pirates avaient compromis des comptes administratifs, puis tenté de manipuler les flux d'authentification et d'établir un fournisseur d'identité secondaire pour usurper l'identité des utilisateurs au sein de l'organisation concernée.
Comme d'autres victimes de la campagne, le pirate informatique a tenté d'accéder aux fichiers HTTP Archive (HAR), qui suivent les interactions entre un site Web et un navigateur. Le pirate informatique avait utilisé un fichier HAR pour accéder au portail administratif d'Okta, mais avait été bloqué.
Cloudflare ciblé aussi
De nombreuses entreprises ont commencé à révéler qu'elles avaient été impactées par l'attaque Okta. La société de cybersécurité BeyondTrust, par exemple, mais aussi Cloudflare. BeyondTrust affirme avoir informé Okta du problème pour la première fois le 2 octobre, des semaines avant de finalement le révéler publiquement.
Cloudflare a ensuite publié son propre message d'alerte, informant les clients qu'eux aussi étaient concernés. Des pirates ont tenté d'attaquer leur système le 18 octobre en utilisant un jeton d'authentification compromis chez Okta. "Nous avons vérifié qu'aucune information ou système client Cloudflare n'a été impacté par cet événement en raison de notre réponse rapide" ont-ils déclaré.
C'est la deuxième fois que Cloudflare est touché par une violation des systèmes d'Okta.
La premiére fois date de mars 2022. Bien que l'intrusion ait été limitée, Cloudflare a déclaré que le pirate informatique avait pu accéder au système de support client d'Okta et consulté les fichiers téléchargés par certains clients Okta dans le cadre de récents cas de support. "Il semble que dans notre cas, l'acteur menaçant ait pu détourner un jeton de session à partir d'un ticket d'assistance créé par un employé de Cloudflare. En utilisant le jeton extrait d’Okta, le pirate a accédé aux systèmes Cloudflare le 18 octobre", confirme Cloudflare.
Deux comptes d'employés Cloudflare distincts au sein de la plateforme Okta ont été ciblés. Les pirates seraient restés dans les secrets d'Okta du 2 au 18 octobre malgré sa notification par BeyondTrust. Le cas de 1password montre que les pirates étaient dans la place dés septembre.
Le service de veille ZATAZ peut vous alerter et vous aider en cas de ce type de fuite et vous permet d’être plus rapide que les pirates avant qu'ils n'exploitent vos informations à des fins malveillantes contre vous, vos proches, amis, collègues ou au sein d'entreprises [privées ou publiques].
Comentarios