Piratage de l'entreprise Okta: pourquoi cette cyberattaque peut avoir des conséquences importantes

Cette semaine, deux entreprises américaines ont été victimes d'une cyberattaque du groupe Lapsus$. Déjà connu pour avoir récolté des données sensibles du groupe Samsung et de l'entreprise de micro-processeurs Nvidia, le groupe a publié successivement des données de ses nouvelles victimes sur la messagerie sécurisée Telegram. Il s'agit de Microsoft, et du groupe Okta, spécialisé en gestion des accès et solutions de sécurité pour les entreprises.

Dans le cas de Microsoft, seule une capture d'écran, très vite supprimée, a permis de faire un lien entre le groupe de pirates et l'entreprise.

"A ce stade, il est difficile de savoir l'ampleur de l'attaque, ou même de véritablement confirmer qu'elle a eu lieu", temporise Baptiste Robert, chercheur en cybersécurité.

Du côté d'Okta, l'histoire est différente. Cette entreprise américaine propose des solutions de gestion d'accès sécurisé (authentification) à des serveurs en ligne à ses clients. Son activité relève donc de la cybersécurité et de la protection. Parmi ses clients, on retrouve les français Engie, Foncia, ou encore La Croix Rouge française.

Un piratage de ses systèmes, qui sont eux-mêmes chargés d'en sécuriser des centaines d'autres, pourrait donc avoir des répercutions majeures.

Dimanche 20 mars, le groupe de hackers Lapsus$ a publié sur Telegram plusieurs captures d'écran démontrant leur accès aux réseaux de l'entreprise. Ces captures sont datées de janvier, laissant penser que ces derniers ont pu avoir accès pendant un certain temps aux informations.

375 victimes potentielles

A la suite de cette publication, Okta a échangé avec Lapsus$ par communiqués de presse interposés, entre le 20 et le 22 mars. Tentant dans un premier temps d'éteindre l'incendie, l'entreprise a reconnu, dans son plus récent communiqué qu'une partie de ses clients avait bien été affectée.

"Après une enquête approfondie, nous en avons conclu qu'un petit pourcentage de clients, approximativement 2,5%, ont potentiellement été affectés, et dont les données ont été vues ou manipulées. Nous avons identifié ces clients et les avons contactés", a déclaré David Bradbury, directeur des ventes d'Okta, dans un communiqué publié le 22 mars.

Cela représente, sur les 15.000 clients revendiqués par l'entreprise, au moins 375 d'entre eux.

"Les hackers ont eu un accès temporaire au Slack (une application de messagerie, ndlr) de l'entreprise, où il était possible de mettre la main sur un grand nombre d'informations. Mais ils ont également accédé aux discussions Slack relatives aux clients", explique Baptiste Robert. "Il est extrêmement problématique qu'une entreprise qui propose des solutions de sécurité à ses clients puisse être inflitrée de la sorte", continue-t-il.

Le détail des informations en jeu est inconnu, au même titre que la liste exacte des clients potentiellement affectés.

Le groupe Lapsus$, dont l'identité est inconnue, a fait couler beaucoup d'encre ces derniers mois en s'infiltrant dans les réseaux de plusieurs grandes entreprises, telles que Samsung, Nvidia, ou encore Ubisoft.

Comme dans de nombreuses d'attaques, il accompagne ses méfaits d'une demande de rançon: l'assaillant publie en ligne la preuve de son vol, et menace d'en dévoiler la totalité en cas de refus de paiement de la part de l'entreprise ciblée.