Okta nomme Sitel dans l’incident de sécurité Lapsus$ affectant jusqu’à 366 clients

Sitel a été désigné comme le tiers présumé responsable d’un récent incident de sécurité subi par Okta.

Dans un Compte rendu Mercredi, David Bradbury, responsable de la sécurité chez Okta, a déclaré aux participants virtuels que l’incident avait été “une gêne pour moi-même et pour toute l’équipe d’Okta”.

Okta est devenu l’objet d’un examen minutieux suite à la fuite de captures d’écran par le groupe de piratage LAPSUS$ plus tôt cette semaine. Les images semblaient montrer que les assaillants avaient avoir accès à “Okta.com Superuser/Admin et divers autres systèmes.”

La société de services d’identité et d’authentification a déclaré qu’il y avait une fenêtre de cinq jours au cours de laquelle l’intrusion s’est produite.

“Le rapport de la société médico-légale a souligné qu’il y avait une fenêtre de temps de cinq jours entre le 16 et le 21 janvier 2022, lorsque l’acteur de la menace avait accès à l’environnement Sitel, que nous avons validé avec notre propre analyse”, a déclaré le CSO.

Selon Bradbury, l’ordinateur portable d’un ingénieur du support client était à l’origine de l’intrusion, et l’appareil était “détenu et géré par Sitel”.

Sitel est l’un des sous-traitants ultérieurs d’Okta. L’exécutif a déclaré que les attaquants avaient utilisé le protocole de bureau à distance (RDP) pour accéder à l’ordinateur portable :

“Le scénario ici est analogue à celui de s’éloigner de votre ordinateur dans un café, dans lequel un étranger s’est (pratiquement dans ce cas) assis devant votre machine et utilise la souris et le clavier.

Ainsi, alors que l’attaquant n’a jamais eu accès au service Okta via la prise de contrôle de compte, une machine qui était connectée à Okta a été compromise et ils ont pu obtenir des captures d’écran et contrôler la machine via la session RDP.”

Après avoir analysé 125 000 entrées de connexion, la société indique désormais que jusqu’à 366 clients pourraient avoir été touchés.

Une alerte a été émise le 20 janvier indiquant qu’un nouvel ajout d’authentification multi-facteurs (MFA) a été “tenté” sur le compte de l’ingénieur support Sitel. L’exécutif affirme qu’en quelques “minutes”, les sessions d’Okta ont été interrompues, dans l’attente d’une enquête. Cependant, Bradbury a affirmé que la “tentative” d’inscription au MFA était “infructueuse”.

Un jour plus tard, des indicateurs de compromission (IoC) ont été partagés par Okta avec Sitel, qui a également engagé une aide à l’enquête. Okta a ensuite reçu un résumé de l’incident, mais le rapport complet n’a été publié qu’hier.

“Je suis très déçu par la longue période qui s’est écoulée entre notre notification initiale à Sitel en janvier et la publication du rapport d’enquête complet il y a quelques heures à peine”, a déclaré le CSO. “Après réflexion, une fois que nous avons reçu le rapport de synthèse de Sitel la semaine dernière, nous aurions dû, en fait, agir plus rapidement pour comprendre ses implications.”

Bradbury a déclaré que le mode “superutilisateur” montré dans les captures d’écran ne fournit pas un accès “divin”. Au lieu de cela, les ingénieurs de support ne peuvent utiliser leurs comptes que pour “les tâches de base et le traitement des requêtes de support entrantes”.

En conséquence, l’exécutif affirme que même si l’acteur de la menace avait accès à l’environnement Sitel, celui-ci était “très limité”.

“Nous sommes d’avis qu’aucune mesure corrective ne doit être prise par les clients”, a ajouté Bradbury.

Cependant, dans un souci de “transparence”, les clients potentiellement impactés recevront un rapport d’incident.

“Cet incident ne servira qu’à renforcer notre engagement en matière de sécurité […]”, a commenté Bradbury. “Nous continuerons à travailler sans relâche pour nous assurer que vous disposez d’un service Okta fiable et sécurisé.”

Un porte-parole de Sykes, qui fait partie du groupe Sitel, a déclaré ZDNet:

Suite à une faille de sécurité en janvier 2022 affectant certaines parties du réseau Sykes, nous avons pris des mesures rapides pour contenir l’incident et protéger tous les clients potentiellement concernés.

Suite aux mesures prises par nos équipes mondiales de sécurité et de technologie, un leader mondial de la cybersécurité a été engagé pour mener une enquête immédiate et complète sur l’affaire. […] À la suite de l’enquête et de notre évaluation continue des menaces externes, nous sommes convaincus qu’il n’y a plus de risque pour la sécurité.

Nous ne sommes pas en mesure de commenter notre relation avec des marques spécifiques ou la nature des services que nous fournissons à nos clients.”

Voir également


Vous avez un conseil ? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713 025 499, ou plus à Keybase : charlie0


Leave a Comment