Okta révise sa déclaration initiale sur la fuite de données du mois dernier qui aurait finalement affecté la quasi-totalité des utilisateurs de son service de support client.

Version initiale d’Okta

Le 20 octobre 2023, le célèbre blog dédié à la sécurité informatique et la cybercriminalité de Brian Krebs, KrebsOnSecurity, publiait la nouvelle violation subie par le géant de l’identité et de l’authentification, Okta. L’entreprise avait initialement rapporté que cette intrusion avait touché moins de 1% de ses 18 000 clients.

Cette faille de sécurité a été identifiée par Okta le mois précédent, lorsqu’il a été découvert que des intrus avaient eu accès à son système de gestion des cas de support client pendant plusieurs semaines depuis fin septembre 2023. Cette intrusion a permis aux hackers de dérober des tokens d’authentification de certains clients, leur donnant ainsi la possibilité d’altérer des comptes clients en ajoutant ou modifiant des utilisateurs autorisés.

Okta révise sa version

Cette déclaration a été récemment révisée par Okta, qui a désormais admis que les attaquants ont réussi à dérober les noms et adresses e-mail de presque tous les utilisateurs de son service de support client.

Complément d’information

Initialement, Okta avait signalé que les hackers avaient uniquement eu accès à des fichiers liés au système de leur support client, associés à 134 clients, soit moins de 1% de sa base de clients. Cependant, une déclaration ultérieure a révélé que les intrus avaient en réalité obtenu les noms et adresses e-mail de tous les utilisateurs du système de support client, affectant ainsi tous les clients de la solution Cloud d’identité de travail (WIC) et de la Solution d’identité client (CIS) du géant de l’authentification, à l’exception des clients des environnements FedRamp High et DoD IL4.

Okta a précisé que pour près de 97 % des utilisateurs touchés, seuls le nom complet et l’adresse e-mail ont été exposés. Environ 3% des comptes de support client ont quant à eux subi une exposition de données plus conséquente, révélant des informations telles que la dernière connexion, le nom d’utilisateur, le numéro de téléphone, l’ID de fédération SAML, le nom de l’entreprise, le rôle professionnel, le type d’utilisateur, ou encore la date du dernier changement ou de la dernière réinitialisation de mot de passe.

Okta victime directe

Un point important à souligner est que de nombreux comptes exposés appartiennent à des administrateurs d’Okta, chargés d’intégrer la technologie d’authentification dans les environnements clients. L’entreprise a donc vivement recommandé à ces administrateurs de mettre en place une authentification multifacteurs (MFA) pour protéger le système de support client et l’accès à leur console d’administration.

Malgré ça, 6% des clients, soit approximativement 1000 personnes, continuent d’utiliser des comptes administrateurs sans authentification forte.