1Mot de passe
1Password, un gestionnaire de mots de passe utilisé par des millions de personnes et plus de 100 000 entreprises, a déclaré avoir détecté une activité suspecte sur un compte d’entreprise fourni par Okta, le service d’identité et d’authentification qui a révélé une violation vendredi.
« Le 29 septembre, nous avons détecté une activité suspecte sur notre instance Okta que nous utilisons pour gérer nos applications destinées aux employés », a écrit le directeur technique de 1Password, Pedro Canahuati, dans un e-mail. « Nous avons immédiatement mis fin à l’activité, enquêté et n’avons trouvé aucune compromission des données des utilisateurs ou d’autres systèmes sensibles, qu’ils soient destinés aux employés ou aux utilisateurs. »
Depuis lors, a déclaré Canahuati, son entreprise travaille avec Okta pour déterminer les moyens utilisés par l’attaquant inconnu pour accéder au compte. Vendredi, les enquêteurs ont confirmé que cela résultait d’une violation signalée par Okta dans son système de gestion du support client.
Okta a alors déclaré qu’un acteur malveillant avait obtenu un accès non autorisé à son système de gestion des dossiers d’assistance client et, à partir de là, avait consulté les fichiers téléchargés par certains clients d’Okta. Les fichiers obtenus par l’auteur de la menace dans le cadre de la compromission d’Okta comprenaient des fichiers d’archive HTTP, ou HAR, que le personnel d’assistance d’Okta utilise pour répliquer l’activité du navigateur du client lors des sessions de dépannage. Parmi les informations sensibles qu’ils stockent figurent les cookies d’authentification et les jetons de session, que des acteurs malveillants peuvent utiliser pour usurper l’identité d’utilisateurs valides.
La société de sécurité BeyondTrust a déclaré avoir découvert l’intrusion après qu’un attaquant ait utilisé des cookies d’authentification valides pour tenter d’accéder à son compte Okta. L’attaquant pouvait effectuer « quelques actions limitées », mais finalement, les contrôles de politique d’accès de BeyondTrust ont arrêté l’activité et bloqué tout accès au compte. 1Password devient désormais le deuxième client Okta connu à être ciblé par une attaque ultérieure.
La déclaration de lundi de 1Password n’a fourni aucun autre détail sur l’incident et les représentants n’ont pas répondu aux questions. Un rapport daté du 18 octobre et partagé sur un espace de travail interne de 1Password Notion indique que l’acteur malveillant a obtenu un fichier HAR qu’un employé informatique de l’entreprise avait créé lors d’un récent contact avec le support Okta. Le fichier contenait un enregistrement de tout le trafic entre le navigateur de l’employé de 1Password et les serveurs Okta, y compris les cookies de session.
Les représentants de 1Password n’ont pas répondu à une demande de confirmation de l’authenticité du document, qui a été fournie sous forme de texte et de captures d’écran par un employé anonyme de 1Password.
Selon le rapport, l’attaquant a également accédé au locataire Okta de 1Password. Les clients Okta utilisent ces locataires pour gérer l’accès au système et les privilèges système attribués à divers employés, partenaires ou clients. L’acteur malveillant a également réussi à visualiser les attributions de groupes dans le locataire Okta de 1Password et à effectuer d’autres actions, dont aucune n’a abouti à des entrées dans les journaux d’événements. Une fois connecté, l’acteur malveillant a mis à jour ce que l’on appelle un IDP (fournisseur d’identité), utilisé pour authentifier un environnement de production fourni par Google.
L’équipe informatique de 1Password a appris l’accès le 29 septembre lorsque les membres de l’équipe ont reçu un e-mail inattendu suggérant que l’un d’eux avait demandé une liste d’utilisateurs 1Password disposant de droits d’administrateur sur le locataire Okta. Les membres de l’équipe ont reconnu qu’aucun employé autorisé n’avait fait la demande et ont alerté l’équipe d’intervention en matière de sécurité de l’entreprise. Depuis que l’incident a été révélé, 1Password a également modifié les paramètres de configuration de son locataire Okta, notamment en refusant les connexions provenant de fournisseurs d’identité non Okta.
Voici un résumé des actions entreprises par l’attaquant :
- J’ai tenté d’accéder au tableau de bord Okta de l’employé informatique, mais j’ai été bloqué.
- Mise à jour d’un IDP existant lié à l’environnement de production Google de 1Password
- Activé l’IDP
- Demandé un rapport des utilisateurs administratifs
Le 2 octobre, trois jours après l’événement, les attaquants se sont de nouveau connectés au client Okta de 1Password et ont tenté d’utiliser l’IDP Google qu’ils avaient précédemment activé. L’acteur n’a pas réussi car l’IDP avait été retiré. Les accès antérieurs et ultérieurs provenaient d’un serveur fourni par l’hébergeur cloud LeaseWeb aux États-Unis et utilisaient une version de Chrome sur une machine Windows.
La faille Okta fait partie d’une série d’attaques menées ces dernières années contre de grandes entreprises qui fournissent des logiciels ou des services à un grand nombre de clients. Après avoir accédé au fournisseur, les attaquants utilisent leur position pour lancer des attaques ultérieures ciblant les clients. Il est probable que davantage de clients Okta seront identifiés dans les semaines à venir.