La compromission OAuth de Klue révèle des failles de sécurité et touche LastPass

L'entreprise canadienne Klue, spécialisée dans la veille concurrentielle, a révélé que des pirates ont dérobé un identifiant OAuth inactif depuis 2022, initialement créé dans le cadre d'un projet pilote limité. Cet identifiant, qui n'avait pas été révoqué par la suite, a permis aux assaillants d'accéder à un système central contenant les clés d'intégration nécessaires pour consulter les données des clients.

Parmi les sociétés touchées par cette intrusion figure LastPass, le célèbre gestionnaire de mots de passe. L'éditeur a confirmé que des informations issues de ses dossiers d'assistance clientèle ont été exfiltrées. Selon les conclusions de l'enquête interne, les données dérobées incluent des noms, des adresses électroniques, des numéros de téléphone et des notes de cas de support. LastPass précise que les mots de passe principaux des utilisateurs et leurs coffres-forts chiffrés n'ont pas été compromis. Il s'agit du second incident de sécurité affectant la société en l'espace de quelques années, après une précédente violation qui avait exposé des données de coffres cryptés.

Le groupe responsable de cette attaque se fait appeler Icarus. Il s'est déjà fait connaître pour des campagnes ciblant les données hébergées sur la plateforme Salesforce, en utilisant des jetons OAuth volés pour s'introduire dans les comptes d'entreprises. Dans le cas de Klue, les pirates ont exploité l'accès au système de gestion des intégrations pour exfiltrer les données de plusieurs clients utilisateurs de la passerelle OAuth de l'entreprise. Icarus a revendiqué l'opération et publié une partie des données volées, renforçant les craintes d'une vague de violations en chaîne.

Klue a indiqué avoir immédiatement révoqué l'identifiant compromis après avoir détecté l'intrusion et a entrepris de notifier l'ensemble des clients concernés. L'incident soulève des interrogations sur les pratiques de gestion des accès et des identifiants dormants, notamment la nécessité de révoquer systématiquement les accès inutilisés, même s'ils proviennent d'anciens projets pilotes.

Cette affaire illustre les risques inhérents aux intégrations OAuth lorsque les jetons ne sont pas régulièrement audités et révoqués. Les experts en sécurité rappellent qu'une telle négligence peut offrir aux attaquants une porte d'entrée vers des systèmes critiques et des données sensibles, avec des répercussions en cascade sur l'ensemble de la chaîne d'approvisionnement numérique.