Barracuda full logo

Avis sur les menaces liées à la cybersécurité : des attaques de social engineering ciblent Okta

Thèmes:
7 sept. 2023
|

L’avis sur les menaces de cybersécurité publié aujourd’hui met en lumière Okta, qui a été victime ces dernières semaines d’attaques de social engineering menées par des acteurs cherchant à obtenir des rôles disposant de privilèges élevés dans ses comptes. L’entreprise a mis en garde contre des attaques de social engineering visant les agents du service d’assistance informatique d’entreprises basées aux États-Unis. Ces attaques sont conçues pour inciter les entreprises à réinitialiser l’authentification multifacteur (MFA) pour les utilisateurs disposant de privilèges élevés.

Nature de la menace

Le social engineering consiste à tromper et à manipuler des individus afin qu’ils divulguent des informations confidentielles ou personnelles susceptibles d’être utilisées à des fins frauduleuses. L’objectif des pirates est de détourner les comptes Okta de super administrateurs disposant de privilèges élevés pour accéder aux fonctionnalités de fédération des identités et les exploiter. Selon Okta, avant d’appeler le centre de services informatiques d’une entreprise cible, le pirate possède les mots de passe de comptes privilégiés ou peut trafiquer le flux d’authentification via Active Directory (AD).

Pourquoi est-ce important ?

Les acteurs malveillants semblent soit a) posséder les mots de passe de comptes utilisateurs privilégiés, soit b) manipuler le flux d’authentification délégué via AD avant d’appeler le service informatique de l’entreprise ciblée. Ils demandent ensuite une réinitialisation de tous les facteurs MFA du compte le plus important. Dans le cas d’Okta, l’acteur malveillant a ciblé les utilisateurs dotés d’autorisations de super administrateur. Les pirates ont utilisé leur accès administrateur pour élever les privilèges des autres comptes, réinitialiser les authentificateurs inscrits et supprimer la protection de double authentification (2FA) de certains comptes.

Quel est le risque ou le degré d'exposition ?

Selon Okta, les auteurs de la menace ont été observés en train de configurer un deuxième fournisseur d’identité (IdP) pour agir comme une « application d’usurpation d’identité » afin d’accéder aux applications au sein de l’entreprise compromise au nom d’autres utilisateurs. Ce deuxième fournisseur d’identité, également contrôlé par le pirate, agirait comme un IdP « source » dans une relation de fédération entrante (parfois appelée « Org2Org ») avec la cible. À l’aide de l’IdP source, les pirates ont modifié les noms d’utilisateur pour qu’ils correspondent aux vrais utilisateurs de l’IdP cible compromis, ce qui leur a permis d’usurper l’identité de l’utilisateur cible et de fournir l’accès aux applications à l’aide du mécanisme d’authentification unique (SSO).

Quelles sont les recommandations ?

Barracuda recommande les mesures suivantes pour limiter l’impact des facteurs externes sur les comptes administrateurs :

  • Appliquez une authentification résistante au phishing à l’aide d’Okta FastPass et de FIDO Web2Authn.
  • Exigez une réauthentification pour accéder aux applications privilégiées, notamment la console d’administration.
  • Utilisez des authentificateurs puissants pour une récupération en libre-service et limitez-vous aux réseaux de confiance.
  • Rationalisez les outils de surveillance et de gestion à distance (RMM) et bloquez ceux qui ne sont pas autorisés.
  • Améliorez la vérification du service d’assistance avec des contrôles visuels, des défis MFA et des approbations de gestionnaire.
  • Activez et testez les alertes pour les nouveaux appareils et les activités suspectes.
  • Limitez les rôles de super administrateur, implémentez la gestion des accès privilégiés et déléguez les tâches à haut risque.
  • Obligez les administrateurs à se connecter à partir d’appareils gérés avec une MFA résistante au phishing et limitez l’accès aux zones de confiance.
  • Activez et testez les notifications des utilisateurs finaux concernant les nouveaux appareils et les activités suspectes.
  • Examinez et limitez l’utilisation des rôles de super administrateur. Implémentez la gestion des accès privilégiés (PAM) pour l’accès super administrateur, utilisez des rôles d’administrateur personnalisés pour les tâches de maintenance et déléguez la capacité d’effectuer des tâches à haut risque.

RÉFÉRENCES

Pour plus d'informations sur les recommandations, veuillez consulter les liens suivants :

 

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Choc du système : le ransomware Storm-0501 migre vers le cloud
Choc du système : le ransomware Storm-0501 migre vers le cloud
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.