Okta, l’un des fournisseurs de services d’authentification unique (SSO) les plus utilisés, a récemment révélé une faille de sécurité majeure qui a été corrigée fin octobre. La faille affectait tous les comptes dont le nom d’utilisateur comportait 52 caractères ou plus. À cette longueur, le service a simplement ignoré la vérification du mot de passe.
Okta, l’un des principaux fournisseurs mondiaux de services d’authentification unique et de gestion des identités, a révélé fin octobre avoir corrigé un bug dans son service qui constituait une menace de sécurité potentiellement grave. menace pour la sécurité. Essentiellement, le bug ignorait la vérification du mot de passe pour tout compte dont le nom d’utilisateur comportait plus de 52 caractères. Les acteurs malveillants pourraient potentiellement accéder à ces comptes en saisissant simplement le bon nom d’utilisateur, même si le mot de passe qu’ils ont fourni était erroné ou même manquant. Bien entendu, cela suppose qu’un mot de passe soit la seule protection du compte en question.
Le bug a été introduit dans une mise à jour publiée vers la fin juillet 2024, et a été remarqué et corrigé environ trois mois plus tard. Cela n’a pas été largement rapporté et il a fallu un certain temps pour le remarquer et le résoudre. La grande majorité des noms d’utilisateur de tout portail de connexion ont tendance à contenir moins de 52 caractères, bien que certains, comme ceux qui incluent le prénom et le nom d’une personne ainsi que le domaine de messagerie de son entreprise, puissent dépasser cette limite. La vulnérabilité repose sur le fait que l’authentification multifacteur n’est pas activée et sur la chance du tirage au sort ; dans ce cas, les connexions sont authentifiées par un cache de la clé chiffrée d’une précédente connexion réussie. Cela signifie que si la tentative de connexion atteint le serveur d’authentification principal d’Okta avant le chargement du cache, elle a une chance d’être détectée et arrêtée.
L’ensemble relativement limité de circonstances permettant l’utilisation de cet exploit signifiait que son potentiel de chaos n’était pas très élevé, mais le fait que cela soit arrivé à une entreprise comme Okta est révélateur. Les risques de sécurité sont nombreux dans le monde numérique d’aujourd’hui, et c’est pourquoi l’entreprise a averti tous les utilisateurs, concernés ou non, de mettre en œuvre une authentification multifacteur en plus des protections existantes. De nombreux services de connexion exigent que les utilisateurs configurent une sorte d’autorisation secondaire comme condition de création et de vérification de leur nouveau compte, ce qui fait d’un exploit potentiellement désastreux comme celui-ci un simple avertissement pour l’utilisateur moyen.
Traducteur: Ninh Ngoc Duy – Assistante éditoriale – 454464 articles publiés sur Notebookcheck depuis 2008
Partagez notre article, chaque lien compte !