Cloudflare, victime d’une cyberattaque sophistiquée

L’incident, qui a été divulgué via un billet de blog, trouve son origine dans une violation de la sécurité chez Okta, affectant le système de gestion de la relation client de l’entreprise. Un acteur malveillant a réussi à accéder et télécharger un rapport contenant des noms, adresses email, et autres données critiques, mettant en péril les comptes administrateurs d’Okta.

Entre le 14 et le 17 novembre 2023, l’attaquant a mené une reconnaissance des systèmes de Cloudflare, accédant à son wiki interne et à sa base de données de bugs, ainsi qu’à son système de gestion de code source. Il a également tenté d’accéder à un serveur console qui avait accès à un centre de données à São Paulo, Brésil.

Les journaux d’accès ont révélé que l’attaquant a utilisé un jeton d’accès unique et trois identifiants de compte de service dérobés lors de la brèche Okta, que Cloudflare n’avait pas renouvelés assez rapidement. Malgré l’étendue apparente des activités de l’attaquant sur cette période de trois jours, ses mouvements au sein du réseau de l’entreprise ont été restreints grâce aux systèmes de sécurité en place, et l’accès a finalement été coupé le 24 novembre.

Cloudflare a attribué cet incident à un acteur étatique sophistiqué, soulignant l’approche méthodique et minutieuse de l’attaquant. En réponse à cette brèche significative, Cloudflare a lancé une opération Code Rouge, mobilisant d’importantes ressources pour renforcer la sécurité, examiner les systèmes accédés, et mettre en œuvre une rotation complète des identifiants et un durcissement des systèmes.

Malgré la portée relativement limitée de l’intrusion, Cloudflare a pris des mesures rigoureuses pour éliminer toute vulnérabilité potentielle ou vestige de l’attaque que l’acteur malveillant pourrait utiliser pour regagner l’accès, y compris le remplacement du matériel dans un centre de données à São Paulo, par mesure de précaution. Une enquête indépendante menée par CrowdStrike a corroboré les constatations de Cloudflare, confirmant que les activités de l’acteur de la menace étaient confinées à l’environnement Atlassian reconnu comme compromis.

Cloudflare a partagé des indicateurs de compromission (IoC) pour aider d’autres clients d’Okta à détecter des activités similaires. Toutefois, sur la base des preuves recueillies, l’entreprise n’a pas pu attribuer l’attaque à un groupe de menaces connu ou documenté.

Chaque jour, vous êtes de plus en plus nombreux à consulter nos pages et à nous poser des questions pour comprendre comment sécuriser vos données personnelles. Merci pour votre soutien et pour vos nombreux partages !