Notebookcheck Logo

La vulnérabilité de la connexion à Okta ne permet pas de vérifier les mots de passe

Source de l'image : AI generated
Source de l'image : AI generated
Okta, l'un des fournisseurs les plus utilisés de services de signature unique, ou SSO, a récemment révélé une faille de sécurité majeure qui a été corrigée à la fin du mois d'octobre. La faille affectait tous les comptes dont le nom d'utilisateur comportait 52 caractères ou plus. À cette longueur, le service sautait tout simplement la vérification du mot de passe.

Okta, l'un des principaux fournisseurs mondiaux de services d'authentification unique et de gestion des identités, a révélé à la fin du mois d'octobre qu'il avait corrigé un bogue dans son service qui causait une menace de sécurité potentiellement grave grave menace pour la sécurité. Essentiellement, le bogue ignorait la vérification du mot de passe pour tout compte dont le nom d'utilisateur comportait plus de 52 caractères. Des acteurs malveillants pouvaient potentiellement accéder à ces comptes en saisissant simplement le nom d'utilisateur correct, même si le mot de passe qu'ils avaient fourni était erroné ou même absent. Bien entendu, cela suppose qu'un mot de passe soit la seule protection du compte en question.

Le bogue a été introduit dans une mise à jour diffusée vers la fin du mois de juillet 2024, et a été remarqué et corrigé environ trois mois plus tard. Il n'a pas été largement signalé, et il a fallu un certain temps pour le remarquer et le résoudre. La grande majorité des noms d'utilisateur pour tout portail de connexion tendent à être inférieurs à 52 caractères, bien que certains, tels que ceux qui incluent le nom et le prénom d'une personne ainsi que le domaine de messagerie de son entreprise, puissent dépasser cette limite. La vulnérabilité repose sur le fait que l'authentification multifactorielle n'est pas activée et sur la chance du tirage au sort ; dans ce cas, les connexions sont authentifiées par un cache de la clé cryptée d'une connexion précédente réussie. Cela signifie que si la tentative de connexion atteint le serveur d'authentification principal d'Okta avant que le cache ne soit chargé, elle a une chance d'être détectée et arrêtée.

L'ensemble relativement restreint de circonstances permettant l'utilisation de cet exploit signifiait que son potentiel de chaos n'était pas très élevé, mais le fait que cela soit arrivé à une entreprise comme Okta est révélateur. Les risques de sécurité sont nombreux dans le monde numérique d'aujourd'hui, et c'est pourquoi l'entreprise a averti tous les utilisateurs, touchés ou non, de mettre en place une authentification multifactorielle en plus de toutes les protections existantes. De nombreux services de connexion exigent que les utilisateurs mettent en place une sorte d'autorisation secondaire comme condition à la création et à la vérification de leur nouveau compte, ce qui fait qu'un exploit potentiellement désastreux comme celui-ci n'est guère plus qu'une mise en garde pour l'utilisateur moyen.

Source(s)

Please share our article, every link counts!
Mail Logo
> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Archives des nouvelles 2024 11 > La vulnérabilité de la connexion à Okta ne permet pas de vérifier les mots de passe
Daniel Fuller, 2024-11- 8 (Update: 2024-11- 8)