Quelles pourraient être les conséquences du piratage d’Okta ?

Les cybercriminels du groupe Lapsus$ disent avoir piraté Okta, un important fournisseur de systèmes de gestion des accès. Et maintenant ?

Les cybercriminels du groupe Lapsus$ ont publié des captures d’écran qui correspondraient soi-disant à l’environnement interne des systèmes d’information d’Okta. Si leurs dires sont confirmés, ils auraient accès au site de l’entreprise et à certains systèmes internes, dont quelques-uns considérés comme critiques.

Lapsus$ déclare ne pas avoir volé de données relatives à l’entreprise puisque les clients d’Okta étaient la cible de cette attaque. À en juger par les dates des captures d’écran, les cybercriminels ont eu accès aux systèmes en janvier 2022.

Qui est Okta et quels sont les dangers de cette faille ?

Okta développe et maintient les systèmes de gestion des identités et des accès. Pour être plus précis, l’entreprise fournit une solution d’authentification unique (SSO). Un nombre considérable de grandes entreprises utilisent les solutions d’Okta.

Les experts de Kaspersky pensent que si les cybercriminels ont au accès aux systèmes d’Okta cela pourrait expliquer pourquoi les données notoires de certaines grandes entreprises ont été divulguées. D’ailleurs, les pirates informatiques de Lapsus$ avaient déjà déclaré être responsables de ces fuites de données.

Comment les cybercriminels ont eu accès aux systèmes d’Okta ?

Pour le moment, il n’y a aucune preuve concluante indiquant que les cybercriminels aient eu accès aux systèmes. Selon le communiqué officiel d’Okta, ses spécialistes mènent actuellement une enquête et l’entreprise s’est engagée à partager tous les détails dès que l’enquête sera terminée. Les captures d’écran publiées pourraient correspondre à l’incident de janvier, lorsqu’un acteur inconnu a essayé de compromettre le compte d’un ingénieur de l’équipe d’assistance d’un sous-traitant.

Le 23 mars 2022, Lapsus$ a répondu au communiqué officiel d’Okta et a accusé l’entreprise d’essayer de minimiser l’impact de cette faille.

Lapsus$ a répondu au communiqué officiel d'Okta

Lapsus$ a répondu au communiqué officiel d’Okta

Qui est le groupe Lapsus$ et que devenons-nous savoir ?

Lapsus$ est devenu célèbre en 2020 lorsque le groupe a compromis les systèmes du Ministère brésilien de la santé. Il s’agit vraisemblablement d’un groupe de cybercriminels d’Amérique latine qui vole les informations de grandes entreprises pour demander une rançon. Si la victime refuse de payer, les pirates informatiques publient les données volées sur Internet. Contrairement à d’autres groupes de ransomware, Lapsus$ ne chiffre pas les données des entreprises piratées, mais les menace de divulguer les données si elles ne paient pas la rançon.

Nvidia, Samsung et Ubisoft sont certaines des entreprises célèbres attaquées par Lapsus$. De plus, le groupe a récemment partagé 37 GB de code et certains pensent que ces données pourraient être liées à des projets internes de Microsoft.

Comment vous protéger ?

Pour le moment, il est impossible de dire avec certitude que l’incident a vraiment eu lieu. La publication de ces captures d’écran est un comportement assez étrange et les cybercriminels pourraient l’avoir fait pour se faire un peu de publicité, pour nuire à la réputation d’Okta ou pour ne pas révéler la vraie méthode que Lapsus$ a utilisé pour accéder à un des clients d’Okta.

Cela étant dit, pour ne courir aucun risque, nos experts conseillent aux clients d’Okta de prendre les mesures suivantes :

  • D’imposer un contrôle particulièrement strict de l’activité du réseau et de toute activité liée à l’authentification dans les systèmes internes ;
  • De proposer aux employés une formation supplémentaire pour adopter de bonnes habitudes en cybersécurité et de les préparer pour qu’ils soient sur leur garde et signalent toute activité suspecte ;
  • De réaliser un audit de sécurité de l’infrastructure informatique de l’entreprise pour détecter les failles et les systèmes vulnérables ;
  • De restreindre l’accès aux outils de gestion à distance à partir d’adresses IP externes ;
  • De garantir que l’accès aux interfaces de contrôle à distance n’est limité qu’à un certain nombre de postes de travail ;
  • De suivre le principe de moindre privilège et d’accès limité au personnel lorsqu’il s’agit de comptes importants, et de n’autoriser l’accès qu’aux personnes en ayant besoin pour travailler ;
  • D’utiliser la surveillance du trafic du réseau du système de contrôle industriel (ICS) et des solutions d’analyse et de détection pour mieux protéger l’entreprise contre les attaques qui pourraient s’en prendre aux processus technologiques et aux biens principaux de l’entreprise.

Les entreprises n’ayant pas les ressources internes pour surveiller l’activité suspecte de leur infrastructure informatique peuvent avoir recours à des experts externes .

Conseils