Vulnérabilité chez Okta : les comptes aux noms d’utilisateur longs pouvaient se connecter sans mot de passe
Trois mois après qu'une mise à jour a introduit cette faille, l'entreprise a finalement réussi à le résoudre.
Tl;dr
- Okta a révélé une vulnérabilité permettant l’accès sans mot de passe.
- La vulnérabilité concernait les noms d’utilisateur de 52 caractères ou plus.
- Okta conseille aux clients concernés de vérifier leurs journaux d’accès.
Okta : une faille de sécurité révélée
Okta, l’éditeur de logiciel de sécurité, a récemment dévoilé une vulnérabilité dans son système qui permettait à des personnes de se connecter à un compte sans avoir à fournir le mot de passe correct. Cette faille de sécurité touchait les comptes dont le nom d’utilisateur comportait 52 caractères ou plus.
Les spécificités de la vulnérabilité
Selon l’avis de sécurité publié par l’entreprise, l’authentification par mot de passe était contournée si le système détectait une « clé de cache stockée » d’une authentification réussie précédemment. Cela signifie que le propriétaire du compte devait avoir un historique de connexion à partir de ce navigateur. Il est à noter que cette vulnérabilité n’affectait pas les organisations qui exigent une authentification à plusieurs facteurs.
Les conséquences possibles
Un nom d’utilisateur de 52 caractères est plus facile à deviner qu’un mot de passe aléatoire. En effet, il pourrait simplement s’agir de l’adresse e-mail d’une personne qui inclut son nom complet ainsi que le domaine du site Web de son organisation.
Comment Okta réagit-elle ?
La société a admis que la vulnérabilité a été introduite dans le cadre d’une mise à jour standard qui a été déployée le 23 juillet 2024. Elle n’a découvert et corrigé le problème que le 30 octobre. Okta conseille désormais aux clients qui remplissent toutes les conditions de cette vulnérabilité de vérifier leur journal d’accès des derniers mois.
Okta, qui offre des services permettant aux entreprises d’ajouter des services d’authentification à leurs applications, n’a pas précisé si elle avait connaissance de personnes ayant été affectées par ce problème spécifique. Cependant, elle s’est engagée à « communiquer plus rapidement avec les clients » suite à l’accès non-autorisé à plusieurs comptes d’utilisateurs par le groupe de menaces Lapsus$.