Pour gérer vos consentements :

Okta piraté : le point sur cet incident avec du Cloudflare dedans

« Le zero trust, c’est envers les fournisseurs ? ». Un twitteur s’est permis cette boutade en réaction à une annonce du cofondateur et principal dirigeant d’Okta. L’intéressé a confirmé la détection, fin janvier, d’un incident de sécurité. En l’occurrence, une « tentative de compromission » portant sur le compte d’un ingénieur de support client chez un sous-traitant.

« Nous pensons que les captures d’écran diffusées en ligne sont liées à cet événement », ajoute Todd McKinnon. Mais de quels screenshots parle-t-on au juste ? De ceux que LAPSUS$ a relayés ce matin sur son Telegram. Au nombre de huit, ils laissent entrevoir des accès de niveau superutilisateur. Entre autres sur une console d’administration où figure le logo de Cloudflare.

L’une des captures montre une boîte de dialogue. Objet : la réinitialisation du mot de passe d’une certaine Oxana Kharitonova. Cloudflare a dans son effectif une employée de ce nom. Elle est ingénieure en fiabilité de site. Tout du moins à en croire son profil LinkedIn, qui ressort encore dans les moteurs de recherche… mais qui aboutit à une 404. On en trouve trace – souvent partiellement – dans certaines archives.

Le « screen Cloudflare » comporte aussi un nom : celui d’un employé de l’entreprise CGS (Computer Generated Solutions), qui assure notamment du support pour Okta.
Des noms, il y en a sur une autre capture. Elle présente une discussion impliquant au moins deux ingénieurs du support technique d’Okta basés en Australie.

Okta au tableau de chasse de LAPSUS$

LAPSUS$ n’est pas inconnu au bataillon. Ces derniers mois, il a notamment revendiqué une offensive contre NVIDIA. À la clé, a-t-il affirmé, 1 To de données couvrant pour partie de la propriété intellectuelle critique. Y compris de partenaires, dont Qualcomm.

LAPSUS$ avait d’abord demandé à NVIDIA de lever le bridage de la puissance de minage (LHR, lite hash rate) sur ses cartes graphiques de la gamme RTX-3000. En échange de quoi il ne publierait pas les informations dérobées. Il avait ensuite exigé que l’entreprise mette en open source tous ses pilotes GPU. Passé l’ultimatum du 4 mars, une archive de 20 Go a été publiée. Les données qu’elle contient apparaissent authentiques.

Plus récemment, LAPSUS$ s’en est pris à Samsung. Avec vraisemblablement là aussi un leak authentique. Au menu, près de 200 Go de données. Avec là aussi de la propriété intellectuelle de Qualcomm ; en plus, entre autres, de code source lié à Knox, à des bootloaders, à des algorithmes de chiffrement, etc. y compris pour le dernier-né Galaxy S22.

Microsoft a été une autre cible de LAPSUS$. Et des données ont là aussi fuité. Une archive d’environ 10 Go en témoigne. Elle contient des éléments relatifs, notamment, à Bing, Bing Maps et Cortana.

Pas encore de leak concernant Okta. Mais une affirmation : LAPSUS$ n’a pas ciblé les données du fournisseur, mais celles de ses clients. La liste est longue. Avec, en France, des références comme Back Market, ENGIE, Foncia, et Renault.

Photo d’illustration © lolloj – Shutterstock

Recent Posts

Scribe : les enseignements à tirer de l’échec de ce projet d’État

Un seul logiciel pour la rédaction des procédures entre police et gendarmerie. C'était l'objectif du…

59 minutes ago

HackerOne : quand un initié détourne le bug bounty

Un employé de HackerOne aurait exploité à des fins personnelles des rapports de sécurité soumis…

6 heures ago

Jean-Noël Barrot, nouveau ministre délégué chargé du numérique

Jean-Noël Barrot est nommé ministre délégué chargé de la Transition numérique et des Télécommunications du…

23 heures ago

Cloud : Microsoft peine à se convertir à sa « nouvelle expérience commerciale »

Microsoft concède de nouveaux reports dans la mise en place de la « nouvelle expérience…

23 heures ago

PC, tablettes et smartphones : la dégringolade qui s’annonce

Tensions géopolitiques, inflation et difficultés d'approvisionnement impactent à la baisse le marché des terminaux. En…

24 heures ago

Le W3C dit non à Google et Mozilla sur l’identité décentralisée

La spécification DID (Decentralized Identifiers) passera au stade de recommandation W3C début août, en dépit…

1 jour ago