Microsoft a confirmé le 23 mars 2022 que Lapsus$, un gang de cyberpirates spécialisés dans les rançongiciels, lui a volé des données et les codes-sources de certains de ses logiciels. Le 22 mars, Okta, une société californienne de gestion des identités et des accès, confirmait également avoir été piratée.
Personne n’est à l’abri des cyberattaques les plus sophistiquées, pas même les poids lourds de la cybersécurité. C’est inquiètant. Après Okta, c’est au tour de Microsoft d’être l’une des victimes en mars 2022 de Lapsus$, un groupe de cyberpirates spécialisés dans les rançongiciels que l’éditeur a nommé DEV-0537. « Aucun code ou donnée client n’a été impliqué dans les activités observées. Notre enquête a révélé qu’un seul compte avait été compromis, accordant un accès limité » explique l’éditeur.
Lapsus$ a publié en ligne 37 Go de code source volé à Microsoft
Pour prouver qu’il ne plaisantait pas, Lapsus$ a publié en ligne 37 Go de code source volé semble-t-il sur les serveurs Azure DevOps de Microsoft. Les projets impactés seraient apparemment ceux des applications Bing, Cortana et Bing Maps.
Une fois que Lapsus$ accède aux informations d’identification compromises, il se connecte aux systèmes de l’entreprise, dont les VPN, l’infrastructure, les services de gestion d’identité, comme dans le cas d’Okta, dont les cyberpirates ont volé des données quelques semaines plus tôt.
2,5 % des clients d’Okta touchés potentiellement
Le cas de l’attaque de Lapsus$ sur Okta, une très importante société californienne de gestion des identités et des accès, inquiète aussi les professionnels de la cybersécurité, dont Sylvain Cortes, stratège en sécurité chez Tenable : « Au début, je pensais que c’était un fake, tellement c’est gros… Une fois que je me suis connecté sur le Télégram de Lapsus$… Comment dire, c’est chaud, même très chaud à mon humble avis… ». Cet expert confirme que l’accès obtenu par Lapsus$ est bien au niveau du compte « root » de l’instance Okta et qu’il daterait de janvier 2022 à priori.
David Bradbury, directeur de la cybersécurité d’Okta, reconnaît « qu’il y a eu une fenêtre de cinq jours, entre le 16 et le 21 janvier 2022, pendant laquelle un attaquant a eu accès à l’ordinateur portable d’un ingénieur de support. Après une analyse approfondie de ces demandes, nous avons conclu qu’un petit pourcentage de clients – environ 2,5 % – a potentiellement été touché et que ses données ont pu être consultées ou utilisées. Nous avons identifié ces clients et les avons déjà contactés directement par e-mail ». Lapsus$ explique d’ailleurs sur son Télégram qu’ils visaient les clients d’Okta, pas le service IDaaS lui-même.
Cloudflare prend très au sérieux cette attaque sur le compte d’un employé du service d’assistance d’Okta, dont il est l’un des clients comme fournisseur d’identités. « Nous avons été informés de cet incident par le SIRT interne de Cloudflare. Nous utilisons Okta en interne pour l’identité des employés dans le cadre de notre pile d’authentification. Nous avons enquêté avec soin sur cette compromission et nous ne pensons pas avoir été compromis de ce fait. Nous n’utilisons pas Okta pour les comptes clients ; les clients n’ont pas besoin de prendre de mesures, sauf s’ils utilisent eux-mêmes Okta ».
Une complicité en interne dans les 2 cas ?
Okta prévoit de donner davantage de détails sur cette cyberattaque ce 24 mars 2022, dont peut-être le nom du sous-traitant qui aurait facilité indirectement l’attaque. Et pourquoi pas via un collaborateur payé par Lapsus$ comme cela arrive parfois, ainsi que le souligne Gitguardian : « On ignore comment les acteurs de la menace parviennent à pénétrer les systèmes, mais certains chercheurs en sécurité pensent qu’ils paient des initiés des entreprises pour y accéder. Ils utilisent d’ailleurs leur channel Telegram pour les recruter et lancer des sondages sur les cibles potentielles. Ils ont pas mal de followers sur Telegram, avec plus de 33 000 abonnés sur leur canal principal et plus de 8 000 sur leur canal de discussion ».
L’attaque de Lapsus$, qui a démontré son manque d’honnêteté par le passé selon Sam Curry, responsable de la sécurité chez Cybereason, est à observer avec précautions : « Okta a indiqué qu’il n’y a pas eu de violation et qu’aucune action corrective n’est nécessaire de la part de ses clients, mais Lapsus$ crie haut et fort que l’attaque a fonctionné. Si nous prenons Okta au mot, alors peut-être que la motivation de Lapsus$ est finalement politique et dans ce cas, il est clair que nous ne pouvons pas leur faire confiance ».
