Okta 2022 et 2023 : quand le fournisseur d'identité se fait pirater
Okta, le gardien compromis
Okta est l'un des principaux fournisseurs d'identité (Identity Provider) au monde. Des milliers d'entreprises utilisent Okta pour gérer l'authentification de leurs employés et de leurs clients. Compromettre Okta, c'est potentiellement accéder à tous les systèmes de tous ses clients.
L'incident de janvier 2022
Ce qui s'est passé : le groupe Lapsus$ a compromis le poste de travail d'un ingénieur support d'un sous-traitant d'Okta (Sitel/Sykes). Cet accès permettait de visualiser et de modifier les sessions de support client, incluant la possibilité de réinitialiser des mots de passe et des tokens MFA.
La chronologie problématique : l'attaque a eu lieu en janvier 2022. Okta a été informé le 20 janvier. Lapsus$ a publié des captures d'écran le 22 mars, forçant Okta à communiquer publiquement. Le délai de deux mois entre la détection et la communication a été très critiqué.
Impact : selon Okta, 366 clients (environ 2,5% de leur base) ont potentiellement été affectés. Cependant, l'incertitude sur le périmètre exact a forcé de nombreux clients à réinitialiser leurs credentials par précaution.
L'incident d'octobre 2023
Ce qui s'est passé : des attaquants ont accédé au système de support client d'Okta en utilisant un token de service volé. Ils ont pu consulter les fichiers HAR (HTTP Archive) téléchargés par les clients lors des demandes de support. Ces fichiers contiennent souvent des tokens de session et des cookies d'authentification.
Les victimes directes : parmi les clients dont les données de support ont été consultées, Cloudflare, 1Password et BeyondTrust ont publié des communiqués. BeyondTrust avait détecté l'intrusion et alerté Okta deux semaines avant qu'Okta ne confirme l'incident.
Impact révisé : Okta a d'abord annoncé que 134 clients étaient touchés. Puis en novembre 2023, le chiffre a été révisé : les données de tous les utilisateurs du système de support client (soit environ 18 000 comptes) avaient été extraites.
Le pattern récurrent
Les deux incidents partagent des caractéristiques communes :
Leçons pour les entreprises
Vos fournisseurs d'identité sont des SPOF (Single Points of Failure). Si votre IdP est compromis, tous vos systèmes le sont potentiellement.
Surveillez les accès à vos outils de support. Les systèmes de support ont souvent des privilèges élevés pour aider les clients. Ils doivent être surveillés en continu.
Ne partagez pas de tokens dans les fichiers HAR. Si un fournisseur vous demande un fichier HAR pour le debugging, supprimez les cookies et tokens avant l'envoi.
Ayez un plan B pour l'authentification. Si votre IdP est compromis, pouvez-vous révoquer rapidement toutes les sessions et forcer une ré-authentification ?
Le MFA seul ne suffit pas. Les deux incidents montrent que les contrôles de sécurité d'Okta n'ont pas empêché l'accès aux systèmes internes via des vecteurs indirects.
CleanIssue audite la configuration de vos fournisseurs d'identité et identifie les risques de compromission en cascade.
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
MOVEit 2023 : comment Cl0p a exploité un zero-day pour toucher 2 500 entreprises
Analyse technique de la campagne Cl0p contre MOVEit Transfer en 2023 : la vulnérabilité SQLi, la chaîne d'exploitation et les leçons.
LastPass 2022 : comment un dump de coffres-forts a causé des années de dégâts
Analyse de la compromission de LastPass en 2022 : vol des coffres-forts chiffrés, impact à long terme, et leçons sur la gestion des mots de passe.
SolarWinds 2020 : l'attaque supply chain qui a tout changé
Analyse complète de l'attaque SolarWinds Orion par le groupe russe Nobelium : méthode, impact sur 18 000 organisations et leçons pour la sécurité.
Sources
Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.