Du code source du fournisseur de gestion des identités et des accès Okta auraient été volés dans ses référentiels privés GitHub, selon le service d’information Bleeping Computer.
Le site a déclaré avoir obtenu une notification d’incident de sécurité. Okta a envoyé un courriel à ses contacts de sécurité. Le site indique également avoir confirmé que plusieurs sources, y compris des administrateurs informatiques, ont reçu la même notification par courriel d’Okta.
Le courriel, du directeur de la sécurité (CSO) David Bradbury, indique que la société a été informée par GitHub d’une activité suspecte au début du mois, puis a découvert l’attaque.
L’attaquant n’a pas accédé aux données des clients ni au service Okta, a déclaré Bradbury. Le code volé implique Okta Workforce Identity Cloud (WIC) et aucun produit Auth0 (Customer Identity Cloud), a-t-il ajouté.
C’est le deuxième vol de code signalé par l’entreprise en quatre mois. En août, une personne avait informé Okta qu’elle possédait une copie de certains référentiels de code Auth0 datant d’octobre 2020 et avant. « Nous avons immédiatement lancé une enquête interne approfondie et fait appel aux services d’une société tierce spécialisée dans la cybersécurité. Les deux enquêtes, récemment conclues, ont confirmé qu’il n’y avait aucune preuve d’accès non autorisé à nos environnements ou à ceux de nos clients, ni aucune preuve d’exfiltration de données ou d’accès persistant. »
La société a déclaré avoir pris des mesures pour garantir que ce code ne puisse pas être utilisé pour accéder à Okta ou aux environnements clients. Elle a également prévenu les forces de l’ordre.
Okta a acquis Auth0, un fournisseur de gestion d’accès à authentification unique infonuagique, en 2021. Il n’est pas clair d’après la déclaration d’Okta quand la personne a acquis le code Auth0, seulement que ce n’était pas par l’intermédiaire de clients ou d’accès à des systèmes contrôlés par Okta.
Okta serait considérée comme une cible de choix pour les cybercriminels. Les entreprises du monde entier en dépendent pour fournir des services de connexion universels, à authentification unique et sans mot de passe protégés par une authentification multifacteur.
Son produit le plus récent est Okta for US Military, un nouvel environnement d’identité conçu pour le département américain de la Défense sur Amazon AWS.
Okta a été victime d’un piratage par un tiers en janvier lorsque le gang d’extorsion Lapsus$ a pénétré dans l’environnement informatique de Twillio et a utilisé son accès pour voler des mots de passe à usage unique envoyés par SMS aux clients d’Okta. Okta s’est ensuite excusé de ne pas avoir répondu publiquement assez rapidement lorsque la nouvelle de cette attaque a éclaté.
« Cette fois, la réaction d’Okta semble être beaucoup plus rapide et plus professionnelle par rapport à l’incident de janvier », déclare Ilia Kolochenko, fondateur d’ImmuniWeb.
« Les conséquences de cet incident de sécurité peuvent sembler insignifiantes », a-t-il ajouté. « Cependant, l’accès, même à une petite partie du code source, peut avoir un effet domino sur l’organisation. Souvent, certaines parties du code source sont partagées entre différents produits, offrant aux attaquants une foule d’opportunités uniques pour rétro-concevoir des logiciels critiques et trouver des vulnérabilités du jour zéro.
« De même, le code source moderne contient encore de nombreux secrets codés en dur, tels que les mots de passe de base de données ou les clés API, malgré la mise en œuvre croissante de mécanismes plus sécurisés pour gérer les secrets. Cet incident est un exemple révélateur du fait que les cybercriminels ciblent désormais activement les pipelines CI/CD [intégration/développement continu] de leurs victimes qui sont devenus courants dans un environnement d’entreprise, tout en étant largement sous-protégés en raison de la nouveauté et de la complexité relative de la technologie. Nous devrions nous attendre à d’autres attaques similaires en 2023. »
Disposer du code source peut permettre à un cybercriminel de trouver plus facilement des vulnérabilités, a déclaré Johannes Ullrich, directeur de recherche à l’Institut SANS, dans une interview. Mais, a-t-il ajouté, leur exploitation dépend de la capacité d’Okta à scanner son code avant de mettre les produits en ligne. « S’ils font preuve de diligence raisonnable, l’attaquant ne devrait pas avoir plus de facilité à trouver des vulnérabilités qu’Okta. »
Adaptation et traduction française par Renaud Larue-Langlois.
