L'entreprise américaine Okta a subi une cyberattaque et a indiqué que « des attaquants ont réussi à pénétrer dans son système de support en utilisant des identifiants volés et en extrayant des jetons de session client valides à partir de fichiers de support téléchargés ».

Tyler Reese, Director of Product Management chez Netwrix, a fait le commentaire suivant :

« Dans la mesure où cette attaque récupère les jetons sensibles qu'Okta avait en sa possession auprès de son équipe d'assistance, la seule façon pour un client de se protéger est de prendre des mesures défensives, car il n'existe aucune capacité raisonnable d'invalider de manière proactive ces jetons de la part du client.

Le premier ensemble de défenses doit inclure une authentification matérielle forte pour les comptes privilégiés et fonctionner à partir d’un système fiable. Dans les cas documentés par BeyondTrust et Cloudflare, ils utilisaient des jetons matériels FIDO2 qui permettaient aux équipes de sécurité d'exclure toute compromission potentielle des informations d'identification.

Le deuxième ensemble de défenses devrait être un audit robuste et une détection des comptes privilégiés à partir des systèmes d’identité. Il a été mentionné dans l'un des rapports que même avec l'utilisation de FIDO2, le jeton compromis peut toujours être utilisé pour exécuter des appels API privilégiés.

Le cybercriminel a tenté de créer un compte privilégié déguisé en compte de service. Grâce à une surveillance appropriée, cette activité a été détectée à temps et le processus de création de comptes privilégiés par porte dérobée a été arrêté. Par la suite, ces comptes auraient pu être utilisés une fois le jeton volé expiré et n’étaient plus exploitables.

En résumé, les clients auront besoin de défenses d'authentification solides, ainsi que d'un audit et d'une détection appropriés pour les modifications privilégiées apportées à leur environnement Okta.

De manière générale, avec les attaques par supply chain, le plus grand défi est l'imprévisibilité : une fois qu'un fournisseur a été piraté, il est difficile de savoir où le cybercriminel va se déplacer avec ses privilèges.

S'il s'agit d'un fournisseur de logiciels, il peut chercher à introduire des vulnérabilités dans le logiciel. S’il s’agit d’un fournisseur de services financiers, il est susceptible de chercher à exfiltrer des données à des fins d’extorsion. Le mieux que les organisations puissent faire est d’adopter les concepts de l’approche Zero Trust qui encouragent la surveillance, les moindres privilèges, ainsi qu’une posture et une intégrité solides des ressources IT d’une organisation. »