La vulnérabilité de la connexion à Okta ne permet pas de vérifier les mots de passe

Okta, l'un des principaux fournisseurs mondiaux de services d'authentification unique et de gestion des identités, a révélé à la fin du mois d'octobre qu'il avait corrigé un bogue dans son service qui causait une menace de sécurité potentiellement grave grave menace pour la sécurité. Essentiellement, le bogue ignorait la vérification du mot de passe pour tout compte dont le nom d'utilisateur comportait plus de 52 caractères. Des acteurs malveillants pouvaient potentiellement accéder à ces comptes en saisissant simplement le nom d'utilisateur correct, même si le mot de passe qu'ils avaient fourni était erroné ou même absent. Bien entendu, cela suppose qu'un mot de passe soit la seule protection du compte en question.

Le bogue a été introduit dans une mise à jour diffusée vers la fin du mois de juillet 2024, et a été remarqué et corrigé environ trois mois plus tard. Il n'a pas été largement signalé, et il a fallu un certain temps pour le remarquer et le résoudre. La grande majorité des noms d'utilisateur pour tout portail de connexion tendent à être inférieurs à 52 caractères, bien que certains, tels que ceux qui incluent le nom et le prénom d'une personne ainsi que le domaine de messagerie de son entreprise, puissent dépasser cette limite. La vulnérabilité repose sur le fait que l'authentification multifactorielle n'est pas activée et sur la chance du tirage au sort ; dans ce cas, les connexions sont authentifiées par un cache de la clé cryptée d'une connexion précédente réussie. Cela signifie que si la tentative de connexion atteint le serveur d'authentification principal d'Okta avant que le cache ne soit chargé, elle a une chance d'être détectée et arrêtée.

L'ensemble relativement restreint de circonstances permettant l'utilisation de cet exploit signifiait que son potentiel de chaos n'était pas très élevé, mais le fait que cela soit arrivé à une entreprise comme Okta est révélateur. Les risques de sécurité sont nombreux dans le monde numérique d'aujourd'hui, et c'est pourquoi l'entreprise a averti tous les utilisateurs, touchés ou non, de mettre en place une authentification multifactorielle en plus de toutes les protections existantes. De nombreux services de connexion exigent que les utilisateurs mettent en place une sorte d'autorisation secondaire comme condition à la création et à la vérification de leur nouveau compte, ce qui fait qu'un exploit potentiellement désastreux comme celui-ci n'est guère plus qu'une mise en garde pour l'utilisateur moyen.