Dans les captures d'écran de Lapsus$ relatifs à Okta, les cybercriminels auraient obtenu un accès superutilisateur. (Crédit Photo: DR)
Le groupe Lapsus$ continue à faire parler de lui en revendiquant le vol de données du spécialiste de l'authentification Okta. Ce dernier a lancé rapidement une enquête et soupçonne la compromission d'un compte chez un sous-traitant d'être à l'origine de cette fuite de données.
Décidément, il ne se passe pas un jour sans que les cybercriminels de Lapsus$ ne communiquent sur des vols de données concernant des grandes sociétés. Après Nvidia, Samsung, Ubisoft et hier Microsoft, c'est au tour d'Okta d'être la cible. Le groupe a en effet publié des captures d'écran sur son compte Telegram qui serait des systèmes internes d'Okta, dont une du canal Slack de l'éditeur et une autre avec une interface Cloudflare.
Okta est une entreprise spécialisée dans l'authentification et gestion des accès en mode SaaS, un élément crucial dans la protection des applications et des comptes utilisateurs. La firme dispose de beaucoup de clients (environ 15 000), tous secteurs confondus, des sociétés privées, des universités ou des agences gouvernementales. Le piratage, s'il était réel, pourrait avoir des conséquences importantes pour l'ensemble des acteurs. Le groupe Lapsus$ a indiqué dans son message avoir eu accès un « superutilisateur/administrateur » aux systèmes d'Okta pendant 2 mois, mais préférait se concentrer « uniquement sur les clients d'Okta ». L'extorsion est son fonds de commerce !
Une tentative de compromission datant de janvier 2022 dans le viseur
Du côté du spécialiste de l'authentification, un communiqué vient lever un peu le voile sur cette affaire. « Fin janvier 2022, Okta a détecté une tentative de compromission du compte d'un ingénieur de support client tiers travaillant pour l'un de nos sous-traitants. L'affaire a fait l'objet d'une enquête et a été maîtrisée ultérieurement par le sous-traitant. Nous pensons que les captures d'écran partagées en ligne sont liées à cet événement de janvier ». Okta se veut rassurant en expliquant que « sur la base de notre enquête à ce jour, il n'y a aucune preuve d'activité malveillante en cours au-delà de l'activité détectée en janvier.
Il faudra attendre maintenant la suite des publications du groupe Lapsus$. Pendant le week-end, un message avait laissé entendre que du code source de Microsoft avait été compromis via des dépôts sur un compte Azure DevOps. La firme de Redmond a rapidement diligenté une enquête sur cette affaire, tout en relativisant son impact. Lapsus$ a été un peu loin qu'une simple capture d'écran, en publiant une archive zip de 9 Go ( 37 Go en décompressé) de données sur 250 projets. Selon les cybercriminels, 90% du code source de Bing et 45% de celui de Bing Maps et Cortana sont dans ces dossiers.
Suivez-nous