Petit à petit, la brume se dissipe sur les piratages de Microsoft et d’Okta par les hackers de Lapsus$. L’éditeur de Redmond confirme qu’un compte utilisateur a effectivement été compromis, donnant un « accès limité » aux codes sources de l’entreprise. Il minimise d’ailleurs la portée de ce vol de données dans une note de blog.
« Pour Microsoft, la confidentialité du code n’est pas une mesure de sécurité et l’affichage du code source n’entraîne pas une élévation du risque », peut-on lire.
Bref, ce piratage ne change rien, ou presque.
A découvrir aussi en vidéo :
Okta, un problème d’une toute autre dimension
Chez Okta, en revanche, la situation prend un tournant beaucoup plus anxiogène. Après un tweet légèrement cryptique du PDG, le responsable cybersécurité de l’entreprise, David Bradbury, a publié une assez longue note de blog, livrant des détails techniques du hack.
Ainsi, Lapsus$ a eu accès à la plate-forme pendant cinq jours par le biais du compte d’un ingénieur support de Sitel, qui est un sous-traitant d’Okta. Mais l’impact n’est pas encore très clair. Okta souligne qu’avec un tel accès, on ne peut pas faire n’importe quoi. Il serait impossible d’effacer ou créer des utilisateurs, de télécharger des bases de données ou d’accéder à des codes sources.
Mais ça, c’est la théorie. Dans un message Telegram, les hackers font allusion à certaines mauvaises pratiques, comme le stockage de clés d’authentification Amazon Web Services dans des canaux de discussion Slack.
Dans l’hypothèse d’un « scénario du pire », le fournisseur de services estime d’ailleurs que les pirates auraient pu accéder aux ressources de 366 entreprises, soit environ 2,5 % de son parc de clients. C’est d’autant plus effrayant que le clients d’Okta sont plutôt des moyens et des grands comptes.
Manque de réaction
Au passage, le responsable cybersécurité se livre à une analyse introspective. L’incident a été remonté chez Okta dès le 20 janvier et rapidement partagé avec les équipes de Sitel, qui ont alors démarré une analyse forensique.
Mais un premier résumé de cette enquête n’arrive que le 17 mars, ce qui est assez tardif. À cela s’ajoute un certain manque de discernement au sein d’Okta.
« Après réflexion, nous aurions dû bouger plus rapidement après avoir reçu le résumé du rapport de Sitel, afin de comprendre ses implications », reconnaît David Bradbury, tout en affirmant paradoxalement que « le service d’Okta n’a pas été piraté et qu’aucune action corrective n’a besoin d’être faite par les clients ».
Une formulation plutôt étrange, sans doute inspirée par le service juridique.
De toute façon, la séance de torture est encore loin d’être terminée. Tous attendent maintenant avec frayeur les premières publications de Lapsus$ résultant de ce hack. Mais les pirates prennent leur temps. Sur Telegram, ils ont dit être partis en vacances et qu’ils ne devraient pas redonner signe de vie avant le 30 mars. Tranquille, la vie de pirate.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.