Compromission du système de gestion des dossiers de support d'Okta
Un acteur malveillant a utilisé l'identifiant volé d'un compte de service — exposé via le compte Google personnel d'un employé — pour accéder au système de gestion des dossiers de support client d'Okta, lisant des fichiers HAR contenant des jetons de session et permettant le détournement de session contre des clients dont 1Password, BeyondTrust et Cloudflare.
- Victime
- Okta
- utilisateurs
- 134
Le 20 octobre 2023, le fournisseur d'identité Okta a révélé qu'un attaquant avait accédé à son système de gestion des dossiers de support client à l'aide d'un identifiant volé. Comme ce système stockait des fichiers HAR (HTTP Archive) — des captures de diagnostic pouvant embarquer des jetons de session et des cookies actifs —, la compromission a donné à l'attaquant les moyens de détourner des sessions Okta légitimes des clients affectés. Plusieurs de ces clients, dont 1Password, BeyondTrust et Cloudflare, ont détecté et signalé l'activité avant qu'Okta ne la confirme publiquement.
Ce qui s'est passé
Pour résoudre les problèmes des clients, le personnel de support d'Okta demande régulièrement aux clients de téléverser des fichiers HAR — des enregistrements du trafic du navigateur. Ces fichiers sont précieux pour reproduire les erreurs mais contiennent fréquemment des cookies de session et des jetons bearer qui, en cas de vol, permettent à un attaquant d'usurper l'identité de l'utilisateur authentifié sans mot de passe ni MFA.
L'attaquant a accédé au système de gestion des dossiers de support d'Okta à l'aide des identifiants d'un compte de service autorisé à consulter et mettre à jour les dossiers de support. Entre le 28 septembre et le 17 octobre 2023, il a lu des fichiers de support — dont des fichiers HAR — et extrait des jetons de session, utilisés pour détourner les sessions Okta de cinq clients.
Cause profonde
Dans son rapport d'analyse des causes profondes du 3 novembre 2023, Okta a conclu qu'un employé s'était connecté à son compte Google personnel dans le navigateur Chrome d'un ordinateur portable géré par Okta. Le nom d'utilisateur et le mot de passe du compte de service avaient été enregistrés dans ce compte Google personnel. La voie d'exposition la plus probable était la compromission du compte Google personnel ou de l'appareil personnel de l'employé, d'où l'identifiant a été récolté puis réutilisé contre le système de support d'Okta.
Impact
- Okta a d'abord signalé un petit nombre de clients affectés, puis révisé le total : 134 clients (moins de 1 % de sa base) ont eu des fichiers consultés.
- Des jetons de session issus de fichiers HAR ont été utilisés pour détourner les sessions de 5 clients.
- 1Password a signalé une activité suspecte le 29 septembre ; BeyondTrust a détecté une attaque sur un compte administrateur Okta le 2 octobre ; Cloudflare a détecté un accès par jeton à son instance Okta le 18 octobre. Tous trois ont contenu l'activité sans compromission confirmée en aval des données clients.
- Okta a révoqué les jetons de session intégrés, désactivé le compte de service compromis et renforcé les contrôles — notamment en liant les sessions administrateur à l'emplacement réseau et en désactivant la connexion par compte personnel sur les appareils gérés.
Pourquoi c'est important
La compromission du support d'Okta est un cas d'école de concentration de la confiance dans la chaîne d'approvisionnement : en tant que fournisseur d'identité sous-tendant l'authentification unique de milliers d'organisations, une compromission des propres outils de support d'Okta se répercute directement dans les environnements clients. Elle a mis en lumière deux défaillances récurrentes — des jetons sensibles persistant dans les fichiers HAR de diagnostic et des identifiants d'entreprise fuyant via des comptes cloud personnels sur des appareils gérés. L'incident a favorisé l'adoption généralisée de la désinfection des fichiers HAR, de durées de vie de jetons de session plus courtes, de la liaison des sessions administrateur et d'une séparation plus stricte entre identités professionnelles et personnelles sur les terminaux. Il a aussi confirmé que les défenseurs détectent fréquemment les compromissions de fournisseurs d'identité avant le fournisseur lui-même — ici, les clients ont donné l'alerte des semaines avant la divulgation publique.
Chronologie
Un acteur malveillant commence à accéder aux fichiers du système de gestion des dossiers de support client d'Okta à l'aide d'un identifiant de compte de service volé.
1Password détecte et signale une activité suspecte à Okta — le premier client à alerter sur l'intrusion.
BeyondTrust détecte une attaque sur un compte administrateur Okta interne après que l'acteur a utilisé un cookie de session dérobé d'un fichier HAR téléversé sur le support d'Okta.
L'accès de l'acteur malveillant au système de support prend fin ; la fenêtre d'intrusion s'étend du 28 septembre au 17 octobre.
Cloudflare détecte une attaque sur ses systèmes utilisant un jeton d'authentification compromis provenant du système de gestion des dossiers de support d'Okta.
Okta révèle publiquement que son système de gestion des dossiers de support a été compromis à l'aide d'un identifiant volé.
Okta publie son analyse des causes profondes : les identifiants d'un compte de service avaient été enregistrés dans le compte Google personnel d'un employé, point d'exposition probable. 134 clients ont été affectés.
Sources
- sec.okta.comhttps://sec.okta.com/articles/2023/11/unauthorized-access-oktas-support-case-management-system-root-cause/
- beyondtrust.comhttps://www.beyondtrust.com/blog/entry/okta-support-unit-breach
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/okta-says-its-support-system-was-breached-using-stolen-credentials/
- thehackernews.comhttps://thehackernews.com/2023/11/oktas-recent-customer-support-data.html