Tentative d’effraction chez 1Password à cause d’un piratage chez un fournisseur

Pieterjan Van Leemputten

Le gestionnaire de mots de passe 1Password signale que des pirates ont tenté de s’introduire via le gestionnaire d’identités utilisé par l’entreprise. Aucune donnée de clients n’aurait été volée.

Le directeur technique de 1Password, Petro Canahuati, a déclaré dans un communiqué que l’entreprise avait constaté la tentative d’intrusion et avait immédiatement ouvert une enquête. Il en ressort qu’aucune donnée d’utilisateur n’a été compromise. Il ne sera donc pas nécessaire de changer de mot de passe ou de ne plus utiliser de compte sur 1Password.

La manière dont l’attaque s’est produite, est étonnante: 1Password affirme que le 29 septembre, il a constaté une activité suspecte sur ses outils Okta qu’il utilise en support de ses employés. Tout ce qui était lié à Okta, a alors été immédiatement arrêté, et l’entreprise a ouvert une enquête.

Entre-temps, 1Password s’est associé à Okta pour découvrir ce qui s’est passé. Il en ressort qu’Okta a demandé à 1Password de lui fournir un fichier/rapport spécifique (fichier HAR ou archive http) reprenant tout le trafic entre le navigateur et les serveurs d’Okta, y compris les cookies de session.

Plus tard, le 29 septembre, un hacker aurait utilisé cette même session d’Okta pour effectuer des manipulations sur le portail des administrateurs d’Okta, notamment pour visionner le tableau de bord d’1Password et pour solliciter des rapports sur les administrateurs. Dans ce dernier cas, un mail a été envoyé aux membres concernés, afin que la tentative soit constatée.

Le pirate informatique a pu y arriver, car il est devenu clair par après que les systèmes de support internes d’Okta avaient été piratés. La technique est singulière, mais elle est devenue assez courante ces dernières années: un fournisseur, idéalement de processus sensibles comme la gestion des identités, est piraté, afin d’accéder à la cible ultime via une porte dérobée. Mais comme dans ce cas, la tentative a été rapidement remarquée, elle a été aussitôt bloquée, et rien n’indique actuellement que des données de 1Password aient été visionnées.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire