« Dans la déclaration d’Okta, ils ont déclaré qu’ils n’avaient pas été piratés et que les tentatives de l’attaquant avaient été » infructueuses « , mais ils admettent ouvertement que les attaquants avaient accès aux données des clients », déclare le chercheur indépendant en sécurité Bill Demirkapi. « Si Okta savait depuis janvier qu’un attaquant ont pu accéder aux données confidentielles des clients, pourquoi n’en ont-ils jamais informé aucun de leurs clients ? »
Dans la pratique, les violations des fournisseurs de services tiers sont une voie d’attaque établie pour finalement compromettre une cible principale, et Okta lui-même semble limiter soigneusement son cercle de « sous-traitants ». Une liste de ces affiliés de janvier 2021 montre 11 partenaires régionaux et 10 sous-traitants ultérieurs. Ce dernier groupe comprend des entités bien connues comme Amazon Web Services et Salesforce. Les captures d’écran pointent vers Sykes Enterprises, qui a une équipe située au Costa Rica, en tant qu’affilié possible qui aurait pu compromettre le compte administratif d’un employé d’Okta.
Sykes, qui appartient à la société d’externalisation de services aux entreprises Sitel Group, a déclaré dans un communiqué, rapporté pour la première fois par Forbesqu’il a subi une intrusion en janvier.
« Suite à une faille de sécurité en janvier 2022 affectant certaines parties du réseau Sykes, nous avons pris des mesures rapides pour contenir l’incident et protéger tous les clients potentiellement touchés », a déclaré la société dans un communiqué. « À la suite de l’enquête, ainsi que de notre évaluation continue des menaces externes, nous sommes convaincus qu’il n’y a plus de risque pour la sécurité. »
La déclaration de Sykes a poursuivi en disant que la société est « incapable de commenter notre relation avec des marques spécifiques ou la nature des services que nous fournissons à nos clients ».
Sur sa chaîne Telegram, Lapsus$ a publié une réfutation détaillée (et souvent autofélicitante) de la déclaration d’Okta.
« L’impact potentiel sur les clients d’Okta n’est PAS limité, je suis à peu près certain que la réinitialisation des mots de passe et [multifactor authentication] entraînerait un compromis complet de nombreux systèmes clients », a écrit le groupe. « Si vous vous engagez [sic] à la transparence, que diriez-vous d’embaucher une entreprise telle que Mandiant et de PUBLIER son rapport ? »
Pour de nombreux clients d’Okta qui ont du mal à comprendre leur exposition potentielle à l’incident, tout cela ne fait pas grand-chose pour clarifier toute l’étendue de la situation.
« Si un ingénieur de support Okta peut réinitialiser les mots de passe et les facteurs d’authentification multifacteur pour les utilisateurs, cela pourrait présenter un risque réel pour les clients d’Okta », déclare McCammon de Red Canary. « Les clients d’Okta essaient d’évaluer leur risque et leur exposition potentielle, et l’industrie dans son ensemble examine cela à travers le prisme de la préparation. Si ou quand quelque chose comme cela arrive à un autre fournisseur d’identité, quelles devraient être nos attentes concernant la notification proactive et comment notre réponse devrait-elle évoluer ? »
La clarté d’Okta serait particulièrement précieuse dans cette situation, car les motivations générales de Lapsus$ ne sont toujours pas claires.
« Lapsus$ a élargi ses cibles au-delà de secteurs industriels spécifiques ou de pays ou régions spécifiques », déclare Pratik Savla, ingénieur senior en sécurité au sein de la société de sécurité Venafi. « Cela rend plus difficile pour les analystes de prédire quelle entreprise est la plus à risque. C’est probablement une décision intentionnelle de laisser tout le monde deviner, car ces tactiques ont bien servi les attaquants jusqu’à présent. »
Alors que la communauté de la sécurité se démène pour maîtriser la situation d’Okta, Lapsus $ pourrait avoir encore plus de révélations à faire.
Plus de grandes histoires WIRED