Les identifiants de sécurité tels que les noms d’utilisateur et les mots de passe sont une cible tentante pour les pirates, et même les meilleurs gestionnaires de mots de passe peuvent être menacés de temps à autre. C’est ce qui s’est passé récemment.
Suite à l’annonce d’un incident de sécurité majeur chez Okta en début de semaine, l’attaque semble déjà faire des vagues dans le monde de l’entreprise. L’un des principaux gestionnaires de mots de passe, 1Password, a révélé une cyberattaque qui semble découler directement de la violation d’Okta. Heureusement, il semble qu’aucune donnée client n’ait été volée.
« Le 29 septembre, nous avons détecté une activité suspecte sur notre instance Okta que nous utilisons pour gérer nos applications destinées aux employés », a déclaré Pedro Canahuati, directeur technique de 1Password, dans un e-mail. « Nous avons immédiatement mis fin à l’activité, enquêté et n’avons trouvé aucune compromission des données des utilisateurs ou d’autres systèmes sensibles, qu’ils soient destinés aux employés ou aux utilisateurs », rapporte Ars Technica.
Canahuati a ajouté que 1Password a enquêté sur la manière dont les attaquants ont réussi à pénétrer dans les systèmes, mais cette question a probablement déjà été résolue par Okta elle-même.
En début de semaine, le fournisseur de services de gestion d’identité et d’authentification Okta a fait savoir qu’un acteur menaçant s’était introduit dans son système de gestion des cas d’assistance à la clientèle, par des moyens encore inconnus. Une fois à l’intérieur, il a réussi à obtenir des fichiers téléchargés par ses clients en difficulté, qui comprennent souvent des cookies d’authentification et des jetons de session. Ces fichiers peuvent être utilisés pour contourner non seulement les identifiants de connexion, mais aussi l’authentification multifactorielle (MFA), ce qui permet aux attaquants d’accéder à divers outils et services.
Une faille identifiée ?
Les experts en cybersécurité de BeyondTrust ont été les premiers à repérer le problème après qu’un de ses clients a signalé un comportement étrange sur son réseau, à la suite d’une brève communication avec Okta.
1Password n’a pas fourni d’autres détails, mais Ars Technica a trouvé un rapport datant de la mi-octobre, prétendument partagé sur un espace de travail interne de 1Password Notion, qui indique que les attaquants ont obtenu un fichier HAR que l’un de ses employés informatiques a téléchargé sur Okta. Le fichier contenait un enregistrement de tout le trafic entre le navigateur de l’employé de 1Password et le serveur Okta, y compris les cookies de session, mais 1Password n’a pas voulu discuter de l’authenticité du rapport.
Les attaquants ont apparemment tenté d’accéder au tableau de bord Okta de l’employé informatique, sans succès. Ils ont également mis à jour un fournisseur d’identité existant (IDP) lié à l’environnement Google de production de 1Password et ont activé l’IDP. Enfin, ils ont demandé un rapport sur les utilisateurs administrateurs, dont tous les administrateurs ont été informés. Cette notification a mis tout le monde en alerte et a permis à l’entreprise d’éviter un incident plus grave.
Le gestionnaire de mots de passe a toujours du sens
Si vous utilisez 1Password, vos informations de connexion devraient donc être en sécurité pour l’instant. Cela dit, il est toujours bon de mettre à jour régulièrement ses mots de passe (ou d’utiliser des passkeys), au cas où ils tomberaient entre de mauvaises mains. Malgré cet épisode, vous devriez toujours choisir l’un des meilleurs gestionnaires de mots de passe pour assurer la sécurité de vos données de connexion. Après tout, utiliser une application pour créer et stocker des mots de passe uniques est bien plus sûr que d’utiliser les mêmes informations de connexion facilement devinables pour chaque compte.