Une nouvelle attaque de "credential stuffing" touche Okta, qui donne des conseils à ses utilisateurs

Mélina LOUPIA
Publié le 02 juin 2024 à 12h22
Si vous utilisez le service d'authentification Okta, soyez vigilant © KT Stock photos / Shutterstock
Si vous utilisez le service d'authentification Okta, soyez vigilant © KT Stock photos / Shutterstock

Okta, la populaire plateforme d'authentification en ligne, a révélé qu'elle a récemment subi une attaque d'une ampleur sans précédent par credential stuffing. La société a informé ses clients concernés de manière proactive et leur a fourni des conseils sur la manière de se protéger contre ce type d'attaque.

Okta a mis en garde contre une vulnérabilité de la fonctionnalité d'authentification multi-origine dans Customer Identity Cloud (CIC), la rendant sujette aux attaques de credential stuffing par des acteurs malveillants, un mois à peine après la dernière cyberattaque qui a touché les utilisateurs de ses services d'authentification.

Le fournisseur de services de gestion des identités et des accès a déclaré : « Nous avons observé que les points de terminaison utilisés pour prendre en charge cette fonctionnalité étaient attaqués par credential stuffing pour certains de nos clients. »

Okta a donc informé les clients concernés de manière proactive et leur a fourni des conseils pour se protéger contre ce type d'attaque qui consiste à tester en masse des identifiants volés.

Meilleur gestionnaire de mots de passe, le comparatif en juin 2024
A découvrir
Meilleur gestionnaire de mots de passe, le comparatif en juin 2024

01 juin 2024 à 14h32

Comparatifs services

Le credential stuffing, ou « bourrage d'identifiant », une technique d'attaque récurrente pour Okta

Le « credential stuffing » n'est pas une nouveauté pour Okta. En mars 2022, la plateforme a été la cible d'une attaque similaire menée par le groupe de pirates Lapsus$, qui a exploité une faille de sécurité que la société avait pourtant corrigée. Moins de deux ans plus tard, en septembre 2023, une autre attaque a touché l'ensemble des utilisateurs ayant contacté le service client d'Okta, dépassant largement le 1 % annoncé initialement par la société. Plus récemment, entre mars et avril 2024, cette méthode a de nouveau été utilisée dans une attaque qu'Okta a qualifiée « d'une ampleur sans précédent ».

Le credential stuffing est une technique d'attaque automatisée particulièrement efficace. Contrairement à l'attaque par force brute, qui tente de deviner les mots de passe, elle utilise des identifiants et mots de passe réels volés lors de précédentes fuites de données. Ces informations d'identification sont ensuite testées en masse sur diverses plateformes en ligne, profitant de la tendance des utilisateurs à réutiliser les mêmes mots de passe. En plus d'être redoutablement efficace, cette méthode peut contourner les protections de base grâce à l'utilisation de réseaux distribués comme les botnets.

L'authentification à double facteur est recommandée par Okta pour protéger ses utilisateurs © tsingha25 / Shutterstock

Les recommandations d'Okta à ses utilisateurs pour les protéger du credential stuffing

Plutôt impuissante, car mise devant le fait accompli, Okta a fourni des recommandations à ses clients pour se protéger contre le credential stuffing. La société les encourage à examiner les journaux d'événements pour y trouver des activités suspectes et à modifier immédiatement les informations d'identification des utilisateurs compromis.

Parmi les solutions proposées figurent l'adoption de l'authentification sans mot de passe, l'utilisation de mots de passe robustes d'au moins 12 caractères, l'activation de l'authentification multifacteur (MFA) et la restriction des origines autorisées pour l'authentification multi-origine.

Au-delà des conseils d'Okta, il est essentiel pour les utilisateurs d'adopter de bonnes pratiques de sécurité en ligne. L'utilisation d'un gestionnaire de mots de passe pour générer et stocker des mots de passe uniques et complexes pour chaque compte est vivement recommandée. L'activation de l'authentification à deux facteurs (2FA) constitue également une couche de protection supplémentaire précieuse contre les attaques visant à voler les identifiants.

Google Authenticator
  • Toutes les codes de validation au même endroit.
  • Synchronisation avec votre compte Google.
2FA Authenticator (2FAS)
  • Compatibilité avec tous les services de double authentification.
  • Application open source transparente, utilisable anonymement.
  • Synchronisation des clés entre les appareils via Google Drive.

Source : Okta

Par Mélina LOUPIA

Modératrice, contributrice et community manager pour le regretté OVNI Le Post, puis journaliste société spécialisée dans la parentalité et la psychologie notamment sur Le HuffPost, l'univers du Web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet s'inscrit dans le champ de mes sujets préférés.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

A découvrir en vidéo

Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (3)
gamez

ce qui est chiant avec le gestionnaire de mots de passe, c’est que si on le perd, on est perdu avec x)

Gandalf67

Normalement il y a toujours une procédure de recovery du master password.

gamez

et si quelqu’un arrive à tomber dessus, il a accès à tout
mettre tous ses oeufs dans le même panier c’est quand même risqué