Les actions d'Okta Inc ont chuté de 9% mercredi après que la société américaine d'authentification numérique ait déclaré que des centaines de ses clients pourraient avoir été affectés par une violation de sécurité impliquant le groupe de pirates Lapsus$.

La brèche a suscité l'inquiétude car le gang de cyber extorsion avait posté ce qui semblait être des captures d'écran internes du réseau de l'organisation il y a environ un jour.

Le responsable de la sécurité d'Okta, David Bradbury, a déclaré dans une série de billets de blog https://www.okta.com/blog/2022/03/oktas-investigation-of-the-january-2022-compromise que "l'impact potentiel maximum" concernait 366 clients dont les données ont été consultées par un entrepreneur extérieur.

L'entrepreneur, Sitel Group, employait un ingénieur dont l'ordinateur portable avait été détourné par les pirates, a déclaré Bradbury, ajoutant que le chiffre de 366 représentait le "pire des scénarios" et que les pirates avaient été limités dans leur gamme d'actions possibles.

Un représentant de Sykes, une filiale du groupe Sitel, a déclaré dans un communiqué envoyé par courriel que la société n'était pas en mesure de faire des commentaires sur sa relation avec ses clients mais qu'elle avait entrepris une enquête "immédiate et complète" sur la violation et avait depuis déterminé qu'il n'y avait plus de risque pour la sécurité.

Okta, basé à San Francisco, aide les employés de plus de 15 000 organisations à accéder en toute sécurité à leurs réseaux et applications, de sorte qu'une brèche pourrait avoir de graves conséquences.

Bradbury a déclaré que les intrus n'auraient pas été en mesure d'effectuer des actions telles que le téléchargement de bases de données clients ou l'accès au code source d'Okta.

Okta a eu vent de la violation pour la première fois en janvier, a-t-il ajouté, tandis que Sitel Group, basé à Miami, n'a reçu un rapport médico-légal sur l'incident que le 10 mars, donnant à Okta un résumé des conclusions une semaine plus tard.

M. Bradbury a déclaré qu'il était "grandement déçu par la longue période de temps qui s'est écoulée entre notre notification à Sitel et la publication du rapport d'enquête complet." (Reportage de Raphael Satter ; Montage de Shri Navaratnam, Bernadette Baum et Alexander Smith)