Sitel apporte un démenti dans l’affaire Okta

LAPSUS$ est-il tombé sur un gisement de mots de passe admin ? On s’est posé la question dans le contexte de l’attaque que ce collectif cybercriminel a menée contre Sitel. Le groupe multinational – que contrôle la famille Mulliez – n’était pas la cible principale de l’opération. Il n’était qu’un vecteur pour toucher l’un de ses clients : l’entreprise américaine Okta.

Par l’intermédiaire de la société Sykes, qu’il a acquise en 2021, Sitel fournit des prestations de support aux utilisateurs d’Okta. LAPSUS$ s’en est pris à un de ses ingénieurs ; en particulier, au compte Office 365 de l’intéressé. Cela lui a permis, entre autres actions malveillantes, d’accéder à un tableau Excel.

On ignore le contenu du fichier. Mais son nom a filtré : DomAdmins-LastPass. De là à se demander si des mots de passe admin y figuraient, il n’y pas long. Certains en ont en tout cas fait l’hypothèse… voire plus. Assez pour que Sitel intervienne. Après une première communication publique le 24 mars, le groupe s’est en l’occurrence réexprimé le 29. Son démenti tient en trois points essentiels :

– Le fichier listait des noms de comptes rattachés au réseau hérité de Sykes ; pas des mots de passe.

– La seule référence à des mots de passe était la date de leur dernière modification pour chaque compte.

– Le fait que LAPSUS$ ait pu accéder au tableau n’a pas contribué à l’incident.

Dans la pratique, quelques heures après l’accès au fichier, le compte piraté était parvenu à en créer un autre. Et à l’ajouter parmi les admins du locataire.

Du côté de LAPSUS$, on a baissé le ton. Sur le groupe Telegram qui constitue son principal canal de communication, le collectif en reste à ses provocations de la semaine dernière. En point d’orgue, le prétendu stockage, par Okta, de secrets AWS sur Slack.

Photo d’illustration © phoelix – Shutterstock