UnderNews a déjà à de maintes reprises attirer l’attention sur la vulnérabilité des gestionnaires de mot de passe en ligne. Ils sont nombreux à s’être fait pirater, et OneLogin vient alourdir la liste déjà longue.
Un gestionnaire de mot de passe sécurisé est primordial aujourd’hui pour ceux souhaitant avoir des mots de passe forts, qui diffèrent pour chaque service en ligne / site Internet. Mais encore faut-il bien le choisir ! Sachez qu’il existe une règle d’or en la matière : privilégiez des gestionnaires de mots de passe sécurisés “en dur” qui ne se connectent pas au Web et qui conserve de manière hautement chiffré la base de données des identifiants en local ou sur un média externe. C’est par exemple le cas de l’excellent KeePass qui est gratuit et pratique d’utilisation…
L’usage, la sécurité et la performance d’un gestionnaire de mot de passe repose sur la fiabilité du logiciel / service et sur la force de l’authentification principale y permettant l’accès. Si par malheur l’accès au gestionnaire de mot de passe était compromis, sachez que c’est le pire scénario et que tout s’effondre : l’ensemble des données sensibles rassemblées en un seul point est alors servi sur un plateau aux cybercriminels. LastPass avait déjà fait les frais d’une telle attaque en juin 2015.
Le cas OneLogin
Voila ce qui vient d’arriver début juin aux utilisateurs du gestionnaire de mot de passe en ligne OneLogin, fournissant une solution commerciale de type SSO (Single Sign On) basée sur le Cloud AWS. Le service a vu ses serveurs Web piratés et les cybercriminels ont ainsi pu accéder aux bases de données stockant les données personnelles sensibles des clients situé en Amérique. Autant dire que la réputation du service va en prendre un sacré coup étant donné l’ampleur de la fuite de données sensibles…
Mais les vraies victimes sont bien les utilisateurs du service (il y a beaucoup d’entreprises parmi eux) ! Ces derniers ont tout perdu au cours de ce piratage massif daté du 31 mai 2017. On peut citer quelques gros clients de la solution : DropBox, Citizen, Condé Nast, Yelp, Zendesk, Dell, Pandora ou encore Pinterest…
Tous les clients impactés ont été prévenu par mail et des mesures ont été prises rapidement :
- Réinitialisation forcée des mots de passe utilisateurs
- Régénération forcée des clés d’authentification, des sessions, des tokens OAuth et des certificats pour le site Web ainsi que les applications Android et iOS
L’entreprise explique sur son blog officiel :
« L’attaquant a pu accéder aux bases de données contenant des informations sur les utilisateurs, les applications et les différents types de clés de déchiffrement. De même, il a la capacité de déchiffrer les données dérobées. »
Tous les utilisateurs sont inviter à changer leurs mots de passe au plus vite ! OneLogin compte des millions de clients et parmi eux plus de 2 000 entreprises dans une dizaine de pays.
Conclusion : ne faites pas confiance à un tiers (surtout en ligne) pour gérer vos précieux identifiants et mots de passe ! Il en va de votre sécurité.