Le lundi soir, le gang d’extorsion numérique Lapsus$ a publié une série de messages de plus en plus choquants sur sa chaîne Telegram. Tout d’abord, le groupe a vidé ce qu’il prétend être un code source étendu du moteur de recherche Bing de Microsoft, de Bing Maps et du logiciel d’assistant virtuel Cortana. Une violation potentielle d’une organisation aussi grande et soucieuse de la sécurité que Microsoft serait significative en soi, mais le groupe a suivi le message avec quelque chose d’encore plus alarmant : des captures d’écran apparemment prises le 21 janvier qui semblent montrer Lapsus$ aux commandes d’un agent administratif d’Okta. ou compte « super utilisateur ».
Okta est une plate-forme de gestion des identités quasi omniprésente utilisée par des milliers de grandes organisations qui souhaitent permettre à leurs employés ou partenaires de se connecter facilement et, surtout, en toute sécurité, à plusieurs services sans jongler avec une douzaine de mots de passe. Les violations passées, comme l’effondrement notoire de Twitter en 2020, sont dues à des attaquants qui ont pris le contrôle de l’accès à un compte administratif ou d’assistance qui a la capacité de modifier les comptes des clients. Les attaquants utilisent ces privilèges système pour réinitialiser les mots de passe des comptes cibles, modifier l’adresse e-mail liée aux comptes des victimes et généralement prendre le contrôle. Lorsqu’ils attaquent des comptes Twitter, les pirates peuvent verrouiller les utilisateurs légitimes et tweeter à partir de leurs profils. Cependant, lorsque vous disposez de ce type d’accès pour une plate-forme d’identité comme Okta, les impacts potentiels sont exponentiellement plus extrêmes.
Lapsus$ est en larmes depuis son apparition en décembre, volant le code source et d’autres données précieuses à des entreprises de plus en plus importantes, notamment Nvidia, Samsung et Ubisoft, et les divulguant dans des tentatives d’extorsion apparentes. Mais les chercheurs n’avaient découvert que de manière générale que les attaquants semblaient utiliser le phishing pour compromettre leurs victimes. Il n’était pas clair comment un groupe auparavant inconnu et apparemment amateur avait réussi de tels braquages de données monumentaux. Il semble maintenant possible que certaines de ces violations très médiatisées proviennent du compromis Okta du groupe.
« Fin janvier 2022, Okta a détecté une tentative de compromission du compte d’un ingénieur de support client tiers travaillant pour l’un de nos sous-traitants. L’affaire a fait l’objet d’une enquête et a été maîtrisée par le sous-traitant », a déclaré le PDG d’Okta, Todd McKinnon. mentionné dans un rapport. « Nous pensons que les captures d’écran partagées en ligne sont liées à cet événement de janvier. Sur la base de notre enquête à ce jour, il n’y a aucune preuve d’activité malveillante en cours au-delà de l’activité détectée en janvier.
Okta n’a pas répondu à d’autres questions de WIRED, y compris des questions répétées sur les raisons pour lesquelles l’entreprise n’avait pas divulgué publiquement l’incident auparavant.
Un porte-parole de Microsoft a déclaré tôt mardi matin que la société était « au courant des allégations et enquêtait ».
Sans plus d’informations, on ne sait pas exactement combien d’accès Lapsus $ avait au sein d’Okta ou de son « sous-traitant » sans nom. Dan Tentler, fondateur de la société de simulation et de remédiation d’attaques Phobos Group, affirme que les captures d’écran suggèrent que Lapsus$ a compromis l’accès d’un ingénieur de fiabilité du site Okta, un rôle qui aurait potentiellement des privilèges système étendus dans le cadre des travaux de maintenance et d’amélioration de l’infrastructure.
« Tout ce que j’ai pour continuer, ce sont ces captures d’écran, mais il y a une possibilité non nulle qu’il s’agisse d’un SolarWinds 2.0 », déclare Tentler, faisant référence à l’attaque massive de la chaîne d’approvisionnement lancée l’année dernière par des pirates du renseignement russe qui a compromis un grand nombre d’entreprises de premier plan et agences gouvernementales du monde entier en infiltrant d’abord la plateforme de gestion informatique SolarWinds. « C’est en effet assez important. »