La société d’authentification de sécurité numérique Okta a haussé les sourcils lorsqu’elle a confirmé qu’elle était ciblée par les pirates Microsoft et Nvidia, LAPSUS$, environ deux mois après la violation.
L’attente entre la période initiale de l’incident de cybersécurité et la reconnaissance officielle du piratage a suscité de vives inquiétudes parmi les chercheurs en sécurité et la communauté technologique. Maintenant, Okta a publié une FAQ concernant la situation où il admet que l’entreprise a fait une erreur.
LAPSUS$ a affirmé avoir eu accès aux systèmes d’Okta en infiltrant l’un de ses clients, Sitel, en janvier. Okta l’a confirmé lorsqu’il a déclaré avoir détecté une activité suspecte le 20 janvier. Il dit avoir reçu un « rapport de synthèse sur l’incident de Sitel » le 17 mars.
Cependant, Okta n’a confirmé le piratage qu’après que LAPSUS$ a publié des images sensibles la semaine dernière. La société, qui fournit une technologie d’authentification à certaines des plus grandes entreprises du monde, y compris des agences gouvernementales, a maintenant répondu au contrecoup sévère dans une FAQ :
« Nous voulons reconnaître que nous avons fait une erreur. Sitel est notre prestataire de services dont nous sommes responsables en dernier ressort.
« En janvier, nous ne connaissions pas l’étendue du problème de Sitel – seulement que nous avions détecté et empêché une tentative de prise de contrôle de compte et que Sitel avait engagé une société d’investigation tierce pour enquêter. À ce moment-là, nous ne savions pas qu’il y avait un risque pour Okta et nos clients. Nous devrions avoir des informations plus activement et avec plus de force de la part de Sitel.
« À la lumière des preuves que nous avons recueillies la semaine dernière, il est clair que nous aurions pris une décision différente si nous avions été en possession de tous les faits dont nous disposons aujourd’hui. »
Ailleurs, des documents divulgués partagés avec Wired par le chercheur indépendant en sécurité Bill Demirkapi remettent en question la force, ou l’absence apparente de celle-ci, du système de sécurité de Sitel et des réponses d’atténuation, ainsi que des « lacunes apparentes dans la réponse d’Okta à l’incident ».
Selon le rapport, LAPSUS$ s’est appuyé sur des outils tels que Mimikatz, qui est conçu pour extraire les mots de passe, pour obtenir un accès supplémentaire aux systèmes de Sitel.
« Le calendrier de l’attaque est extrêmement inquiétant pour le groupe Sitel », a souligné Demirkapi. « Les attaquants n’ont pas du tout tenté de maintenir la sécurité opérationnelle. Ils ont littéralement cherché sur Internet sur leurs machines compromises des outils malveillants connus, en les téléchargeant à partir de sources officielles.
Fort contrecoup
Dans tous les cas, les chercheurs en sécurité et les propres clients d’Okta ont critiqué la façon dont l’entreprise a réagi au piratage.
Par exemple, comme l’a rapporté Computing.co.uk, le PDG de Tenable, Amit Yoran, qui est une entreprise de cybersécurité ainsi qu’un client d’Okta, a fourni une déclaration en termes forts adressée à Okta via LinkedIn :
« Soit vous n’avez pas enquêté correctement, soit vous n’avez pas divulgué la violation en janvier lorsqu’elle a été découverte. Lorsque vous avez été dénoncé par LAPSUS$, vous avez balayé l’incident et n’avez littéralement fourni aucune information exploitable aux clients. LAPSUS$ vous a alors appelé pour vos inexactitudes apparentes. Ce n’est qu’alors que vous déterminez et admettez que 2,5 % (des centaines) de la sécurité des clients ont été compromises. Et les détails et les recommandations exploitables sont toujours inexistants.
« Aucun indicateur de compromis n’a été publié, aucune bonne pratique et aucune orientation n’a été publiée sur la manière d’atténuer toute augmentation potentielle des risques. En tant que client, tout ce que nous pouvons dire, c’est qu’Okta ne nous a pas contactés.
Demirkapi a fait écho aux sentiments de la lettre ouverte susmentionnée lorsqu’il a initialement commenté l’incident la semaine dernière. « À mon avis, il semble qu’ils essaient de minimiser l’attaque autant que possible, allant jusqu’à se contredire directement dans leurs propres déclarations », a-t-il déclaré.
Pendant ce temps, sept hackers associés à LAPSUS$ (âgés de 16 à 21 ans) auraient été arrêtés la semaine dernière à Londres, selon Wired. Cependant, ils ont tous été finalement libérés sans avoir été officiellement inculpés.
LAPSUS$ a fait une entrée remarquée dans la communauté des hackers. Nous les avons d’abord découverts via son hack Nvidia de 1 To, qui a récemment été suivi d’une infiltration des systèmes de Microsoft. Quant à cette dernière firme, elle aurait déjà vu fuir les codes sources de Cortana et de son moteur de recherche Bing.
Recommandations des éditeurs