Du code source d’Okta volé sur GitHub

Du code source du fournisseur de gestion des identités et des accès Okta auraient été volés dans ses référentiels privés GitHub, selon le service d’information Bleeping Computer.

Le site a déclaré avoir obtenu une notification d’incident de sécurité. Okta a envoyé un courriel à ses contacts de sécurité. Le site indique également avoir confirmé que plusieurs sources, y compris des administrateurs informatiques, ont reçu la même notification par courriel d’Okta.

Le courriel, du directeur de la sécurité (CSO) David Bradbury, indique que la société a été informée par GitHub d’une activité suspecte au début du mois, puis a découvert l’attaque.

L’attaquant n’a pas accédé aux données des clients ni au service Okta, a déclaré Bradbury. Le code volé implique Okta Workforce Identity Cloud (WIC) et aucun produit Auth0 (Customer Identity Cloud), a-t-il ajouté.

C’est le deuxième vol de code signalé par l’entreprise en quatre mois. En août, une personne avait informé Okta qu’elle possédait une copie de certains référentiels de code Auth0 datant d’octobre 2020 et avant. « Nous avons immédiatement lancé une enquête interne approfondie et fait appel aux services d’une société tierce spécialisée dans la cybersécurité. Les deux enquêtes, récemment conclues, ont confirmé qu’il n’y avait aucune preuve d’accès non autorisé à nos environnements ou à ceux de nos clients, ni aucune preuve d’exfiltration de données ou d’accès persistant. »

La société a déclaré avoir pris des mesures pour garantir que ce code ne puisse pas être utilisé pour accéder à Okta ou aux environnements clients. Elle a également prévenu les forces de l’ordre.

Okta a acquis Auth0, un fournisseur de gestion d’accès à authentification unique infonuagique, en 2021. Il n’est pas clair d’après la déclaration d’Okta quand la personne a acquis le code Auth0, seulement que ce n’était pas par l’intermédiaire de clients ou d’accès à des systèmes contrôlés par Okta.

Okta serait considérée comme une cible de choix pour les cybercriminels. Les entreprises du monde entier en dépendent pour fournir des services de connexion universels, à authentification unique et sans mot de passe protégés par une authentification multifacteur.

Son produit le plus récent est Okta for US Military, un nouvel environnement d’identité conçu pour le département américain de la Défense sur Amazon AWS.

Okta a été victime d’un piratage par un tiers en janvier lorsque le gang d’extorsion Lapsus$ a pénétré dans l’environnement informatique de Twillio et a utilisé son accès pour voler des mots de passe à usage unique envoyés par SMS aux clients d’Okta. Okta s’est ensuite excusé de ne pas avoir répondu publiquement assez rapidement lorsque la nouvelle de cette attaque a éclaté.

« Cette fois, la réaction d’Okta semble être beaucoup plus rapide et plus professionnelle par rapport à l’incident de janvier », déclare Ilia Kolochenko, fondateur d’ImmuniWeb.

« Les conséquences de cet incident de sécurité peuvent sembler insignifiantes », a-t-il ajouté. « Cependant, l’accès, même à une petite partie du code source, peut avoir un effet domino sur l’organisation. Souvent, certaines parties du code source sont partagées entre différents produits, offrant aux attaquants une foule d’opportunités uniques pour rétro-concevoir des logiciels critiques et trouver des vulnérabilités du jour zéro.

« De même, le code source moderne contient encore de nombreux secrets codés en dur, tels que les mots de passe de base de données ou les clés API, malgré la mise en œuvre croissante de mécanismes plus sécurisés pour gérer les secrets. Cet incident est un exemple révélateur du fait que les cybercriminels ciblent désormais activement les pipelines CI/CD [intégration/développement continu] de leurs victimes qui sont devenus courants dans un environnement d’entreprise, tout en étant largement sous-protégés en raison de la nouveauté et de la complexité relative de la technologie. Nous devrions nous attendre à d’autres attaques similaires en 2023. »

Disposer du code source peut permettre à un cybercriminel de trouver plus facilement des vulnérabilités, a déclaré Johannes Ullrich, directeur de recherche à l’Institut SANS, dans une interview. Mais, a-t-il ajouté, leur exploitation dépend de la capacité d’Okta à scanner son code avant de mettre les produits en ligne. « S’ils font preuve de diligence raisonnable, l’attaquant ne devrait pas avoir plus de facilité à trouver des vulnérabilités qu’Okta. »

L’Article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Uber affirme que la compromission des informations d’identification d’un fournisseur a conduit à une violation de données

Uber a offert plus de détails au sujet de la dernière violation de ses contrôles de sécurité, affirmant que la compromission des informations d'identification d'un sous-traitant externe était le point de départ de l'attaque. Il pense également que l'agresseur était lié au gang d'extorsion Lapsus$.

L’attaque conte Twilio révèle les faiblesses des systèmes d’authentification multifacteur

La dernière révélation sur la campagne de hameçonnage visant à compromettre les comptes de connexion des employés de Twilio est un rappel que l'authentification multifacteur pour protéger les connexions peut être contournée si les systèmes qui la sous-tendent ne sont pas sécurisés.

Okta gèrera désormais les appareils des tiers accédant à ses outils

Le fournisseur de gestion d’identité et d’accès Okta affirme qu'un cybercriminel a accédé aux données de seulement deux clients, et non 366 comme on le craignait à l'origine, après le piratage d'un ordinateur chez un fournisseur de support tiers par le gang d'extorsion Lapsus$.

Google et GitHub proposent de réduire le piratage de chaînes d’approvisionnement

Trois grandes entreprises informatiques ont proposé un moyen de créer des versions d’applications inviolables qui réduisent les risques de piratage des chaînes d'approvisionnement, comme celui contre la chaîne de SolarWinds.

Actualités de la semaine en matière de rançongiciels, 1er avril 2022

Les attaques de cybersécurité sont de plus en plus fréquentes et graves, selon une étude de Telus.