Okta : une faille permettait de se connecter sans mot de passe avec des identifiants longs

Publié le par · Temps de lecture : 3 minutes
Okta vulnérabilité connexion

Récemment, la société Okta a été confrontée à une vulnérabilité critique dans son système de sécurité, permettant à des individus d’accéder à des comptes spécifiques sans nécessiter de mot de passe. Un défaut majeur introduit suite à une mise à jour logicielle effectuée à la mi-juillet 2024, et qui n’a été rectifié que fin octobre de la même année.

Le problème reposait sur une particularité liée à la taille des identifiants utilisateurs : lorsque ces derniers dépassaient 52 caractères, un accès non sécurisé pouvait être établi. Pour comprendre cette anomalie, il est essentiel de savoir que la faille se manifestait au niveau d’une clé de cache, résultant d’une tentative d’authentification réussie antérieurement stockée dans le navigateur de l’utilisateur. Cela ouvrait la porte à des intrusions potentielles sans alerte immédiate, car l’utilisateur légitime restait insoupçonné de l’accès non autorisé.

La correction du bug a nécessité presque quatre mois avant d’être effective, Okta encourageant pendant ce temps ses utilisateurs à consulter leurs journaux d’accès pour détecter toute activité suspecte. Ils ont aussi été invités à modifier leurs identifiants pour plus de sécurité.

Implications potentielles de cette vulnérabilité
Les implications d’une telle vulnérabilité étaient multiples :

  • Risque accru pour la sécurité des données: compte tenu que certains identifiants pourraient intégrer des informations sensibles telles que des noms complets et des affiliations à des domaines d’entreprise, les comptes étaient plus sujets à des attaques de type ‘guessing’ ou ingénierie sociale.
  • Exposition à une plus large gamme de menaces : la simplicité d’accès à ces comptes les rendait vulnérables non seulement au vol d’information mais aussi à des usurpations d’identité potentielles.

La détection tardive de cette anomalie soulevait des questions sur l’efficacité des mécanismes de surveillance en vigueur chez Okta, notamment en ce qui concerne les procédures de mise à jour de leurs systèmes. La société a cependant affirmé avoir pris des mesures immédiates dès la découverte de la faille pour renforcer leurs protocoles de sécurité et pour assurer que de tels incidents ne se reproduisent plus.

En réponse à cet incident, plusieurs mesures ont été envisagées par Okta et partagées avec leur clientèle pour renforcer la sécurité :

  1. Revue complète des protocoles d’authentification.
  2. Augmentation de la surveillance des accès anormaux basée sur une analyse comportementale.

Cette situation fait lumière sur l’importance de la gestion des identités et des accès dans un environnement professionnel, soulignant le besoin constant d’améliorations en termes de cybersécurité pour contrecarrer les avancées des tactiques malveillantes. Okta, en affrontant ce défi, espère restaurer la confiance de ses utilisateurs en prouvant leur capacité à gérer les crises efficacement. Les efforts de la société pour améliorer ses services après cette faille montrent une volonté de transparence et d’adaptation face aux menaces émergentes.

Matbe.com est un média indépendant. Soutenez-nous en nous ajoutant à vos favoris Google Actualités :

Suivez-nous sur Google News

Réagissez à cet article

Matbe, c’est quoi ?

Créé en 2005, Matbe vous informe sur les nouvelles tendances du secteur Web / Informatique / Gaming / High-Tech.

Une réaction, un message à nous envoyer ? C’est ici !
Bonne visite ! Matbe Team

Banque en ligne

VPN

Copyright Matbe.com 2024, tous droits réservés