Un entrant relativement nouveau sur la scène des ransomwares a fait deux déclarations surprenantes ces derniers jours en publiant des images qui semblent montrer des données propriétaires que le groupe dit avoir volées à Microsoft et Okta, un fournisseur d’authentification unique avec 15 000 clients.
Le groupe Lapsus$, apparu pour la première fois il y a trois mois, a déclaré lundi soir sur sa chaîne Telegram avoir obtenu un accès privilégié à certaines des données propriétaires d’Okta. La réclamation, si elle est vraie, pourrait être sérieuse car Okta permet aux employés d’utiliser un seul compte pour se connecter à plusieurs services appartenant à leur employeur.
Obtenir le statut de « superutilisateur »
« AVANT QUE LES GENS COMMENCENT À DEMANDER : NOUS N’AVONS PAS ACCÉDÉ/VOLÉ DE BASES DE DONNÉES À OKTA », a déclaré le message de Telegram. « Nous nous sommes concentrés UNIQUEMENT sur les clients d’okta. »
Todd McKinnon, co-fondateur et PDG d’Okta mentionné sur Twitter que les données semblent être liées à un piratage qui s’est produit il y a deux mois. Il expliqua:
Fin janvier 2022, Okta a détecté une tentative de compromission du compte d’un ingénieur de support client tiers travaillant pour l’un de nos sous-traitants. L’affaire a fait l’objet d’une enquête et a été maîtrisée par le sous-traitant ultérieur. Nous pensons que les captures d’écran partagées en ligne sont liées à cet événement de janvier. Sur la base de notre enquête à ce jour, il n’y a aucune preuve d’activité malveillante en cours au-delà de l’activité détectée en janvier.
Fin janvier 2022, Okta a détecté une tentative de compromission du compte d’un ingénieur de support client tiers travaillant pour l’un de nos sous-traitants. L’affaire a fait l’objet d’une enquête et a été maîtrisée par le sous-traitant ultérieur. (1 sur 2)
– Todd McKinnon (@toddmckinnon) 22 mars 2022
Dans un article publié plus tard, le directeur de la sécurité d’Okta, David Bradbury, a déclaré qu’il n’y avait eu aucune violation du service de son entreprise. La tentative de compromis de janvier mentionnée dans le tweet de McKinnon a échoué. Okta a néanmoins retenu les services d’une société médico-légale pour enquêter et a récemment reçu ses conclusions.
« Le rapport a souligné qu’il y avait une fenêtre de temps de cinq jours entre le 16 et le 21 janvier 2022, où un attaquant avait accès à l’ordinateur portable d’un ingénieur de support », a déclaré le post d’Okta. « Cela correspond aux captures d’écran dont nous avons pris connaissance hier. »
Le message continuait :
L’impact potentiel sur les clients d’Okta est limité à l’accès dont disposent les ingénieurs de support. Ces ingénieurs sont incapables de créer ou de supprimer des utilisateurs ou de télécharger des bases de données clients. Les ingénieurs de support ont accès à des données limitées, par exemple les tickets Jira et les listes d’utilisateurs, qui ont été vues dans les captures d’écran. Les ingénieurs de support peuvent également faciliter la réinitialisation des mots de passe et des facteurs MFA pour les utilisateurs, mais ne peuvent pas obtenir ces mots de passe.
Nous poursuivons activement notre enquête, notamment en identifiant et en contactant les clients susceptibles d’avoir été touchés. Il n’y a aucun impact sur les clients Auth0, et il n’y a aucun impact sur les clients HIPAA et FedRAMP.
Lapsus$ a rapidement répondu au message d’Okta en qualifiant les affirmations de « mensonges ».
« Je ne sais toujours pas comment c’est [an] tentative infructueuse ? », a déclaré le message. « La connexion au portail superutilisateur avec la possibilité de réinitialiser le mot de passe et l’authentification MFA d’environ 95 % des clients n’a pas réussi ? »
La réfutation a ajouté : « L’impact potentiel sur les clients d’Okta n’est PAS limité, je suis à peu près certain que la réinitialisation des mots de passe et de l’authentification MFA entraînerait une compromission complète de nombreux systèmes clients. »
Le message du lundi soir de Lapsus$ était accompagné de huit captures d’écran. L’un semblait montrer une personne connectée à un tableau de bord « superutilisateur » appartenant à Cloudflare, un réseau de diffusion de contenu qui utilise les services Okta. Une autre image montrait ce qui semblait être un changement de mot de passe pour un employé de Cloudflare.
Matthew Prince, fondateur et PDG de Cloudflare a répondu plusieurs heures plus tard, Okta a peut-être été compromis mais, dans tous les cas, « Okta n’est qu’un fournisseur d’identité. Heureusement, nous avons plusieurs couches de sécurité au-delà d’Okta et nous ne les considérerions jamais comme une option autonome. »
Dans un tweet séparé, Prince a déclaré que Cloudflare réinitialisait les informations d’identification d’Okta pour les employés qui avaient changé leur mot de passe au cours des quatre derniers mois. « Nous n’avons confirmé aucun compromis », a-t-il ajouté. « Okta est une couche de sécurité. Étant donné qu’ils peuvent avoir un problème, nous évaluons des alternatives pour cette couche. »
Nous sommes conscients que @Octa peut avoir été compromis. Il n’y a aucune preuve que Cloudflare a été compromis. Okta est simplement un fournisseur d’identité pour Cloudflare. Heureusement, nous avons plusieurs couches de sécurité au-delà d’Okta et nous ne les considérerions jamais comme une option autonome.
– Matthieu Prince ? (@eastdakota) 22 mars 2022
Nous réinitialisons le @Octa les informations d’identification de tous les employés qui ont changé leurs mots de passe au cours des 4 derniers mois, par prudence. Nous n’avons confirmé aucun compromis. Okta est une couche de sécurité. Étant donné qu’ils peuvent avoir un problème, nous évaluons des alternatives pour cette couche.
– Matthieu Prince ? (@eastdakota) 22 mars 2022
Cloudflare a depuis publié ce compte rendu de son enquête sur la violation.
D’autres images du message Lapsus$ montrent une personne connectée à ce qui semble être un système Okta interne, une liste des canaux Slack d’Okta et certaines des applications disponibles pour les employés d’Okta.
Les services Okta sont approuvés pour une utilisation par le gouvernement américain dans le cadre d’un programme connu sous le nom de FedRAMP, qui certifie que les services basés sur le cloud répondent aux exigences de sécurité minimales.
« Pour un service qui alimente les systèmes d’authentification de la plupart des plus grandes entreprises (et approuvé par FEDRAMP), je pense que ces mesures de sécurité sont assez médiocres », ont écrit des membres de gangs dans le message de Monday Telegram.
Microsoft
Au cours du week-end, la même chaîne Telegram a publié des images pour étayer une affirmation de Lapsus $ selon laquelle il aurait violé les systèmes Microsoft. Le message Telegram a ensuite été supprimé, mais pas avant le chercheur en sécurité Dominic Alvieri documenté le piratage sur Twitter.
Lundi, un jour après que le groupe a publié puis supprimé les images, Lapsus$ a publié un lien BitTorrent vers une archive de fichiers qui contenait prétendument du code source propriétaire pour Bing, Bing Maps et Cortana, qui sont tous des services appartenant à Microsoft. Bleeping Computer, citant des chercheurs en sécurité, a rapporté que le contenu du téléchargement avait une taille de 37 Go et semblait être un véritable code source Microsoft.
Microsoft a déclaré mardi seulement: « Nous sommes au courant des réclamations et enquêtons. »
Lapsus$ est un acteur menaçant qui semble opérer depuis l’Amérique du Sud ou peut-être le Portugal, ont déclaré des chercheurs de la société de sécurité Check Point. Contrairement à la plupart des groupes de rançongiciels, a déclaré la firme, Lapsus$ ne crypte pas les données de ses victimes. Au lieu de cela, il menace de divulguer les données publiquement à moins que la victime ne paie une forte rançon. Le groupe, qui est apparu pour la première fois en décembre, a affirmé avoir piraté avec succès Nvidia, Samsung, Ubisoft et d’autres.
« Les détails sur la façon dont le groupe a réussi à franchir ces objectifs n’ont jamais été pleinement expliqués », ont écrit les chercheurs de Check Point dans un article du mardi matin. « Si cela est vrai, la brèche chez Okta peut expliquer comment Lapsus $ a pu réaliser sa récente course réussie. »