Oktane fut un vrai succès ! Visionner nos sessions à la demande.
Essai gratuit Nous contacter

Investigation d’Okta sur la compromission de janvier 2022

À propos de l’auteur

David Bradbury

Chief Security Officer

David Bradbury is the Chief Security Officer at Okta. He oversees security execution, and is responsible for a team navigating the evolving threat landscape to best protect employees and customers. He is also at the forefront of helping Okta’s customers adopt and accelerate Zero Trust security strategies.

Prior to Okta, David was the Senior Vice President and Chief Security Officer at Symantec where he oversaw all cyber security and physical security programs. He has an international reputation for leading and delivering cybersecurity at scale. David has worked across the globe from his native Australia to the UK and the US, leading highly regarded security teams at some of the world’s largest banks including ABN AMRO, Barclays, Morgan Stanley and the Commonwealth Bank of Australia.

David has a Bachelor’s Degree in Computer Science from the University of Sydney.

24 mars 2022 Temps de lecture: ~

Sommaire

Cette mise à jour a été publiée à 8 h 50, heure du Pacifique.

++

Le 22 mars 2022, il y a près de 24 heures, un certain nombre de captures d'écran ont été publiées en ligne. Elles provenaient d'un ordinateur utilisé par l'un des ingénieurs du service clientèle tiers d'Okta. Le partage de ces captures d'écran est gênant pour moi et pour toute l'équipe d'Okta. 

Dans cet article, je souhaite fournir une chronologie et mon point de vue sur ce qui s'est passé, et où nous en sommes aujourd'hui dans cette enquête. J'espère que cela expliquera pourquoi je suis confiant dans nos conclusions selon lesquelles le service Okta n'a pas été violé et qu'aucune mesure corrective ne doit être prise par nos clients.

À titre d'information, comme de nombreux fournisseurs SaaS, Okta utilise plusieurs sociétés (« sous-traitants ») pour développer ses effectifs. Ces entités nous aident à satisfaire nos clients et à assurer leur succès avec nos produits. Sitel, grâce à son acquisition de Sykes, est un sous-traitant d'Okta qui fournit à Okta des travailleurs contractuels pour notre organisation de support client. 

Le 20 janvier 2022, l'équipe de sécurité d'Okta a été alertée de l'ajout d'un nouveau facteur au compte Okta d'un ingénieur du support client de Sitel. Ce facteur était un mot de passe. Bien que cette tentative individuelle ait échoué, par mesure de précaution, nous avons réinitialisé le compte et notifié Sitel, qui a engagé un cabinet d'experts médico-légaux de premier plan pour mener une enquête.

La chronologie suivante présente les principales étapes:

Chronologie (heures en UTC)

  • Le 20 janvier 2022, à 23 h 18, Okta Security a reçu une alerte signalant qu'un nouveau facteur avait été ajouté au compte Okta d'un employé de Sitel depuis un nouvel emplacement. La cible n'a pas accepté de demande d'authentification MFA, empêchant l'accès au compte Okta.
  • Le 20 janvier 2022, à 23h46, Okta Security a examiné l'alerte et l'a transmise en tant qu'incident de sécurité. 
  • Le 21 janvier 2022, à 00 h 18, le service d'assistance Okta a été ajouté à l'incident afin d'aider à contenir le compte de l'utilisateur. 
  • Le 21 janvier 2022 à 00h28, le service d'assistance Okta a mis fin aux sessions Okta de l'utilisateur et a suspendu le compte jusqu'à ce que la cause première de l'activité suspecte puisse être identifiée et corrigée.
  • Le 21 janvier 2022, à 18 h 00, Okta Security a partagé des indicateurs de compromission avec Sitel. Sitel nous a informés qu'ils avaient retenu le soutien externe d'un cabinet médico-légal de premier plan. 
  • Du 21 janvier 2022 au 10 mars 2022 - L'enquête et l'analyse de l'incident par le cabinet d'expertise ont été menées jusqu'au 28 février 2022, et son rapport à Sitel est daté du 10 mars 2022.
  • 17 mars 2022 : Okta a reçu un rapport de synthèse sur l'incident de Sitel.
  • 22 mars 2022, à 03 h 30 - Captures d’écran partagées en ligne par LAPSUS$
  • Le 22 mars 2022, à 05 h 00, Okta Security a déterminé que les captures d'écran étaient liées à l'incident de janvier chez Sitel. 
  • Le 22 mars 2022, à 12h27 - Okta a reçu le rapport d'enquête complet de Sitel

Je suis très déçu par le long délai qui s'est écoulé entre notre notification à Sitel et la publication du rapport d'enquête complet. Après réflexion, une fois que nous avons reçu le rapport de synthèse de Sitel, nous aurions dû agir plus rapidement pour comprendre ses implications.

Notre enquête a déterminé que les captures d'écran, qui ne figuraient pas dans le rapport de synthèse de Sitel, provenaient de l'ordinateur d'un ingénieur support de Sitel sur lequel un attaquant avait obtenu un accès à distance en utilisant RDP. Cet appareil appartenait à Sitel et était géré par cette société. Le scénario ici est analogue au fait de s'éloigner de son ordinateur dans un café, où un inconnu s'est (virtuellement dans ce cas) assis à votre machine et utilise la souris et le clavier. Ainsi, bien que l'attaquant n'ait jamais accédé au service Okta via une prise de contrôle de compte, une machine connectée à Okta a été compromise et il a pu obtenir des captures d'écran et contrôler la machine via la session RDP.

Il est important de comprendre que l'accès dont dispose un ingénieur de support est limité aux tâches de base liées au traitement des demandes de support entrantes. Les ingénieurs du support utilisent un certain nombre d'outils de support client pour effectuer leur travail, notamment les instances d'Okta de Jira, Slack, Splunk, RingCentral et les tickets de support via Salesforce. La plupart des tâches d'ingénierie de support sont effectuées à l'aide d'une application développée en interne appelée SuperUser, ou SU en abrégé, qui est utilisée pour exécuter les fonctions de gestion de base des tenants clients Okta. Cela n'accorde pas un « accès divin » à tous ses utilisateurs. Il s'agit d'une application conçue avec le principe du moindre privilège à l'esprit, afin de garantir que les ingénieurs de support ne bénéficient que de l'accès spécifique dont ils ont besoin pour exercer leurs fonctions. Ils ne peuvent pas créer ou supprimer des utilisateurs. Ils ne peuvent pas télécharger les bases de données clients. Ils ne peuvent pas accéder à nos référentiels de code source. 

Le rapport du cabinet d’expertise judiciaire a souligné qu’il y avait une fenêtre de cinq jours entre le 16 et le 21 janvier 2022 pendant laquelle l’acteur malveillant a eu accès à l’environnement Sitel, ce que nous avons validé avec notre propre analyse. 

En essayant de cerner le rayon d'explosion de cet incident, notre équipe a supposé le pire des cas et a examiné tous les accès effectués par tous les employés de Sitel à l'application SuperUser pendant la période de cinq jours en question. Au cours des dernières 24 heures, nous avons analysé plus de 125 000 entrées de journal pour déterminer les actions qui ont été effectuées par Sitel au cours de la période concernée. Nous avons déterminé que l'impact potentiel maximal est de 366 clients (environ 2,5 %) dont le tenant Okta a été consulté par Sitel.  

En raison de l'accès dont disposaient les ingénieurs du support, les informations et les actions étaient limitées. Bien que ce ne soit pas une étape nécessaire pour les clients, nous nous attendons pleinement à ce qu'ils souhaitent effectuer leur propre analyse. Par souci de transparence, ces clients recevront un rapport indiquant les actions effectuées sur leur tenant Okta par Sitel pendant cette période. Nous pensons que c'est la meilleure façon de laisser les clients évaluer la situation par eux-mêmes. 

Comme pour tous les incidents de sécurité, nous avons de nombreuses occasions d'améliorer nos processus et nos communications. Je suis convaincu que nous allons dans la bonne direction et cet incident ne fera que renforcer notre engagement en matière de sécurité.

Cliquez ici pour consulter les précédentes mises à jour et les déclarations publiques concernant la compromission de janvier : https://www.okta.com/blog/2022/03/updated-okta-statement-on-lapsus/

À propos de l’auteur

David Bradbury

Chief Security Officer

David Bradbury is the Chief Security Officer at Okta. He oversees security execution, and is responsible for a team navigating the evolving threat landscape to best protect employees and customers. He is also at the forefront of helping Okta’s customers adopt and accelerate Zero Trust security strategies.

Prior to Okta, David was the Senior Vice President and Chief Security Officer at Symantec where he oversaw all cyber security and physical security programs. He has an international reputation for leading and delivering cybersecurity at scale. David has worked across the globe from his native Australia to the UK and the US, leading highly regarded security teams at some of the world’s largest banks including ABN AMRO, Barclays, Morgan Stanley and the Commonwealth Bank of Australia.

David has a Bachelor’s Degree in Computer Science from the University of Sydney.

Continuez votre parcours dans l‘univers de l’identité

Essayez Okta gratuitement, ou contactez notre équipe pour discuter de vos besoins spécifiques.

Découvrir
Nous contacter