Une faille de sécurité importante aurait été détectée dans la plate-forme d’Okta, centrale de gestion des identités et des accès, qui aurait pu donner aux acteurs de la menace l’accès aux identifiants de connexion des utilisateurs, et finalement l’accès à toutes les ressources ou applications qu’ils utilisent.
Les chercheurs en cybersécurité de Mitiga ont découvert que dans certains cas, Okta présentait des mots de passe utilisateur (s’ouvre dans un nouvel onglet) dans les journaux d’audit, stockés en texte brut. Ainsi, si un tiers non autorisé avait accès à ces journaux, il recevrait les clés du royaume. Les chercheurs ont décrit cela comme une méthode d’attaque post-exploitation.
Chaque tentative de connexion est enregistrée, expliquent les chercheurs. Parfois, les gens tapent par erreur leur mot de passe dans le champ du nom d’utilisateur, ce qui entraîne évidemment une tentative de connexion infructueuse. Cependant, comme tout est enregistré, cela est également enregistré, le mot de passe étant affiché en texte brut.
MFA à la rescousse
Okta conserve également d’autres données sensibles dans les journaux, ont découvert les chercheurs. Outre les noms d’utilisateur, cela inclut les adresses IP et les horodatages de connexion. De plus, les journaux indiquent si la tentative de connexion a réussi ou non, et si elle a été effectuée via un navigateur Web ou une application mobile.
Pour atténuer le risque, dit Mitiga, le meilleur plan d’action consiste à mettre en place une authentification multifacteur (MFA). Bien que la méthode ne soit pas infaillible, elle réduira considérablement les risques que les pirates utilisent les journaux d’audit pour compromettre les comptes.
Après avoir contacté Okta, la société a confirmé les conclusions de Mitiga mais en a minimisé l’importance, affirmant que les administrateurs sont les seuls à avoir accès aux journaux d’audit, et que ceux-ci doivent être des personnes de confiance, par défaut.
« Okta a examiné le problème signalé et confirmé qu’il s’agit d’un comportement attendu lorsque les utilisateurs saisissent par erreur leur mot de passe dans le champ du nom d’utilisateur », a déclaré la société. « Okta enregistre les tentatives de connexion infructueuses et inclut le nom d’utilisateur erroné dans les journaux. Ces journaux ne sont accessibles qu’aux administrateurs d’Okta, qui sont les utilisateurs les plus privilégiés d’Okta et doivent être fiables pour ne pas se livrer à des activités malveillantes.
« En outre, Okta recommande d’appliquer une authentification multifacteur résistante au phishing pour améliorer encore la sécurité de la plate-forme Okta. Par défaut, MFA est appliqué lors de l’accès à la console d’administration Okta. Un mauvais acteur ne pourrait pas accéder à la console d’administration sans fournir des facteurs supplémentaires pour la connexion. De même, les administrateurs peuvent configurer une politique d’authentification qui nécessite une MFA supplémentaire lors de la connexion à des applications spécifiques, ce qui restreindrait davantage les actions qu’un mauvais acteur peut effectuer.