23/12/2024

Actu CybersécuritéEntreprise

Le gestionnaire de mots de passe 1Password victime d’un incident de sécurité lié au piratage d’Okta !

Le célèbre gestionnaire de mots de passe 1Password a révélé un incident de sécurité qui est directement lié au piratage du système de support d'Okta. Que s'est-il passé ? Est-ce qu'il y a une fuite de données ? Faisons le point.

Le nouvel incident de sécurité qui impact Okta a fait plusieurs victimes, parmi lesquelles 1Password, BeyondTrust ainsi que Cloudflare. De son côté, 1Password vient de mettre en ligne un nouvel article qui évoque succinctement cette activité malveillante liée directement à la compromission du système de support d'Okta : "Nous avons détecté une activité suspecte sur notre instance Okta liée à l'incident de leur système de support."

Du côté de 1Password, l'activité malveillante a été détectée le 29 septembre 2023 sur une instance Okta utilisée pour gérer les applications destinées aux employés. À ce moment-là, Okta n'était pas au courant de cet incident. Pour accéder au portail Okta de 1Password, les pirates ont utilisé un jeton de session contenu dans un fichier HAR volé sur le système de support d'Okta. En l'occurrence, il s'agit d'un fichier HAR créé par un employé de 1Password à partir des Chrome Dev Tools dans le cadre d'un ticket d'assistance ouvert auprès du support d'Okta.

À partir de cet accès, les pirates ont tenté d'effectuer les actions suivantes :

  • Tentative d'accès au tableau de bord de l'équipe informatique, mais cette tentative a été bloquée par Okta.
  • Mise à jour d'un IDP existant (Okta Identity Provider) lié à notre environnement de production Google.
  • Activation de ce nouvel IDP.
  • Demande d'un rapport sur les utilisateurs admins de la plateforme

D'ailleurs, cette dernière action a généré l'envoi d'un rapport par e-mail au service informatique de 1Password, ce qui a surpris les employés, car aucun d'entre eux n'avait demandé la génération de ce rapport. À partir de là, l'activité suspecte a pu être détectée.

1Password se félicite d'être parvenu à détecter et bloquer cette tentative d'attaque très rapidement, ce qui a permis d'éviter le pire et de protéger les données des utilisateurs. Dans l'article de 1Password, nous pouvons lire : "Nous avons immédiatement mis fin à l'activité, mené une enquête et constaté que les données des utilisateurs ou d'autres systèmes sensibles n'avaient pas été compromis, que ce soit au niveau de l'employé ou de l'utilisateur."

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.