Okta accuse un employé d’avoir utilisé son compte Google personnel sur son appareil professionnel après le récent piratage. Toutefois, la direction n’est pas non plus épargnée.
Okta a signalé le 23 octobre un incident de sécurité. Dans un billet de blog, le directeur technique David Bradbury a confirmé que les pirates avaient accès aux données de 134 clients entre le 28 septembre et le 17 octobre. Dans le cas de cinq clients, ils ont même pénétré dans l’environnement client de la plate-forme d’authentification. Parmi ces clients figure le gestionnaire de mots de passe 1Password. Et on a aussi identifié le coupable de la cyberattaque : un employé d’Okta.
Le pauvre employé travaillait sur son ordinateur portable professionnel et utilisait son compte Google personnel. Il avait donc également enregistré les données de connexion de ses comptes professionnels sur ce compte personnel, possiblement dans le gestionnaire de mots de passe de Chrome. Il vaut mieux ne pas trop mélanger les comptes personnels et professionnels, et cet employé a été puni péniblement pour cela.
Le compte piraté était un compte de service, un type de compte créé comme un compte d’utilisateur humain, mais utilisé pour effectuer des tâches automatisées telles que des sauvegardes ou des analyses antivirus. Il est donc plus difficile de sécuriser ce type de compte avec l’authentification multifactorielle.
Introspection
L’employé en question s’est sans doute fait tirer l’oreille, mais il faut aussi que la direction d’Okta fasse un peu d’introspection. Ars Technica indique certaines faiblesses dans la politique de sécurité d’Okta qui ont conduit à cette situation. Pour commencer, les mesures de sécurité pour les comptes de service étaient insuffisantes. Les attaquants ont eu le champ libre une fois qu’ils ont obtenu les identifiants de connexion.
Okta aurait notamment pu renforcer le contrôle des adresses IP liées aux comptes de service et/ou mettre en place des jetons d’authentification temporaires pour ces types de comptes. De plus, Okta a mis longtemps à réaliser que quelque chose clochait sur le réseau, c’est 1Password qui a dû alerter son fournisseur. Pour une entreprise spécialisée dans les technologies d’authentification sécurisées, ces erreurs sont tout à fait embarrassantes.
Entre-temps, Okta a introduit des mesures supplémentaires et ne fournira dorénavant que des jetons de comptes de service basés sur la position du réseau, a confirmé Bradbury. L’entreprise insiste à nouveau sur leur interdiction d’utiliser des comptes personnels sur des ordinateurs portables professionnels.Une maigre consolation, mais Okta a bien reçu le message qu’il faut absolument faire mieux.