Pourquoi donc Sitel et Okta ont-ils été si lents à réagir ? Informé dès janvier de la situation de son prestataire, et avec un rapport en main quatre jours avant que les attaquants ne se vantent de la compromission, le fournisseur de solutions IAM semble avoir attendu que l’incident ne soit public avant d’informer ses clients.
C’est une fuite de documents dont Okta et son prestataire Sitel se seraient bien passés. Un chercheur en sécurité, Bill Demirkapi, a obtenu le mail envoyé par Sitel à ses clients les notifiant d’un incident de sécurité ainsi qu’une timeline venant de Mandiant, l’expert en forensic tiers embauché par Sitel. Les deux documents interrogent aussi bien sur l’état des défenses du prestataire que sur la lenteur de la réponse d’Okta.
Le 25 janvier, Sitel informe ses clients d’un incident de sécurité découvert quatre jours plus tôt par Okta. Si cette notification tend à minimiser l’impact de l’intrusion, l’entreprise indiquant n’avoir « aucune preuve de malware, de ransomware ou de corruption des terminaux », elle signale tout de même que l’incident était sérieux, « affectant [ses] gateways VPN, Thin Kiosks et serveurs SRW ». Pour autant, Okta n’en informe pas ses propres clients.
Dans une FAQ publiée vendredi, le fournisseur de services d’authentification « reconnait avoir fait une erreur », mais nuance fortement son mea culpa, chargeant la barque de Sitel. « En janvier, nous ne connaissions pas l'étendue du problème de Sitel - seulement que nous avions détecté et empêché une tentative de prise de contrôle de compte et que Sitel avait engagé une société d'expertise tierce pour enquêter. À ce moment-là, nous ne savions pas qu'il y avait un risque pour Okta et nos clients. Nous devrions avoir des informations plus activement et avec plus de force de la part de Sitel ».
Quatre jours d'attentisme
L’absence d’information en janvier peut éventuellement être excusée. Mais c’est le 17 mars que Sitel fournit le résumé du rapport forensic à Okta. Un rapport qui indique notamment, selon la timeline fuitée, l’ampleur des dégâts et le mode opératoire de LAPSUS$. Les cybercriminels ont utilisé des outils de hacking connus et disponibles publiquement pour s’introduire sur le VPN de Syke, sous-traitant originel d’Okta, racheté par Sitel en septembre 2021. La chronologie montre que les attaquants ont initialement compromis la machine d’un ingénieur le 16 janvier, puis ont intensifié leur attaque entre les 19 et 20 janvier jusqu'à leur dernière connexion dans l'après-midi du 21.
Avec les informations à leur disposition en janvier, on se demande bien pourquoi Okta et Sitel n’ont pas pris des mesures plus importantes pour sécuriser leurs accès et notifier les clients du premier. Mais, pire encore, entre réception du résumé le 17 mars et la publication des captures d’écran par LAPSUS$ le 22, Okta est resté quatre jours assis sur l’information et ne semble avoir réagi qu’après que la presse ait commencé à relayer ces captures. Au point que certains se demandent si, en l’absence de la publication des captures, Okta aurait un jour informé ses clients de l’incident.