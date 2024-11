Okta confirme un bug de nom d’utilisateur qui signifiait qu’aucun mot de passe n’était requis NurPhoto via Getty Images

Dans ce qui doit être l’un des avis de sécurité les plus bizarres de ces derniers temps, le fournisseur d’authentification Okta a confirmé que les noms d’utilisateur de 52 caractères ou plus signifiaient que n’importe qui pouvait accéder au compte « protégé » sans connaître le mot de passe. Oui. Sérieusement.

L’avis de sécurité Okta

Ayant un métier qui nécessite la lecture de nombreux avis de sécurité, j’avoue volontiers que plus grand chose ne me choque. Mais c’est exactement ce que fait l’avis de sécurité publié le 1er novembre par le colosse de l’authentification Okta, et plus encore. Le titre était déjà assez ennuyeux »Authentification déléguée Okta AD/LDAP – Nom d’utilisateur supérieur à 52 caractères Avis de sécurité» mais, oh mon Dieu, le contenu a-t-il été efficace ?

Avis de sécurité Okta Okta

Il ne s’agissait pas de la vulnérabilité elle-même, découverte lors de la génération de clés de cache à l’aide d’un algorithme Crypt en soi. Ce sont les « conditions spécifiques » dans lesquelles cela pouvait permettre « aux utilisateurs de s’authentifier en fournissant uniquement le nom d’utilisateur » lorsqu’une clé en cache d’une précédente session d’authentification réussie était stockée qui m’a rendu les yeux écarquillés et agité.

« Une condition préalable à cette vulnérabilité est que le nom d’utilisateur doit contenir ou dépasser 52 caractères à chaque fois qu’une clé de cache est générée pour l’utilisateur. »

Oui, vous avez bien lu : un nom d’utilisateur d’au moins 52 caractères signifierait qu’aucun mot de passe ne devrait être saisi pour accéder au compte ou à la ressource protégée par l’authentification Okta.

La version du produit concernée est Okta AD/LDAP DelAuth en date du 23 juillet 2024. Okta a déclaré avoir découvert la vulnérabilité le 30 octobre et avoir été résolue le même jour. « Les clients remplissant les conditions préalables doivent examiner le journal du système de leur organisation pour ce problème entre le 23 juillet 2024 et le 30 octobre 2024 », a déclaré Okta.

J’ai contacté Okta pour obtenir une déclaration, mais aucune n’était disponible au moment de la publication.

Bien qu’il s’agisse bien sûr d’un problème sérieux, il faut garder à l’esprit que le nombre de personnes avec un nom d’utilisateur de 52 caractères ou plus sera pour le moins faible. Cependant, ne minimisons pas la gravité du fait qu’une telle vulnérabilité soit présente, même pendant quelques mois, au sein d’un produit d’une société d’authentification comme Okta.

La plupart des générateurs de noms d’utilisateur ne vont pas jusqu’à 52 NordPass

La plupart des générateurs de noms d’utilisateur en ligne que j’ai essayés ne vous permettent même pas de spécifier 52 caractères pour la longueur. Il serait intéressant de savoir combien d’utilisateurs ont été réellement touchés par cette mesure d’Okta.