Chez MakeUseOf, nous sommes de fervents défenseurs des gestionnaires de mots de passe. Ils simplifient la vie quotidienne, accélèrent les processus et renforcent la sécurité. Cependant, ils centralisent vos données sensibles, ce qui présente des risques inhérents.
Illustration parfaite : OneLogin, fournisseur de solutions d'authentification unique (SSO) et de gestion de mots de passe pour entreprises, a subi une brèche de sécurité le 31 mai 2017. Voici un décryptage complet de l'incident, des actions recommandées et des enseignements clés.
OneLogin a déclaré :
"… un pirate a utilisé l'une de nos clés AWS pour accéder à notre plate-forme AWS via l'API, à partir d'un hôte intermédiaire hébergé par un petit fournisseur de services aux États-Unis…"
En clair, un intrus a accédé à des données sensibles. Bien que chiffrées en grande partie, certaines ont pu être déchiffrées.
Les équipes d'OneLogin ont détecté l'intrusion et isolé les systèmes compromis. Malheureusement, cela a pris sept heures, offrant un délai suffisant pour l'exfiltration de données.
Quelles données ont été compromises ?
"L'attaquant a accédé aux tables de base de données contenant des informations sur les utilisateurs, applications et divers types de clés."
La portée exacte reste inconnue, mais elle inclut des éléments hautement sensibles.
À leur crédit, OneLogin a communiqué de manière transparente via un billet de blog, des notifications clients et des recommandations précises, sans minimiser l'incident.
OneLogin a publié un guide d'atténuation (relayé par The Register). Il préconise la réinitialisation des mots de passe, la régénération des jetons d'authentification, la suppression des notes sécurisées et d'autres mesures administratives.
Pour les utilisateurs finaux : changez immédiatement vos mots de passe principaux et d'applications, régénérez les jetons et supprimez les notes sécurisées. Cela demandera du temps, mais protège contre un accès non autorisé.
Supprimez également les notes sécurisées pour minimiser les risques.
Ces étapes, bien que fastidieuses, valent mieux que les conséquences d'un takeover de comptes ou d'une rançon.
Première leçon majeure : même les fournisseurs SSO et de gestion de mots de passe ne sont pas invulnérables. Ils gèrent des données précieuses et investissent massivement en sécurité, mais les incidents surviennent.
Ici, des clés API compromises via un tiers américain ont ouvert la porte. Aucune entreprise n'est à l'abri.
Conseils pour l'avenir :
Les gestionnaires de mots de passe sont idéaux pour les credentials, mais pas pour tous les secrets (comptes bancaires, mots de passe Wi-Fi). Utilisez des alternatives comme SplashID (local) ou des dossiers chiffrés pour diversifier les risques.
Pratique et rapide (OpenID, logins sociaux), le SSO réduit les mots de passe mais crée un point unique de défaillance. Préférez des comptes uniques par e-mail avec gestionnaire de mots de passe pour une sécurité optimale.
Certaines expertises recommandent le SSO ; évaluez selon vos besoins.
Indispensable pour e-mail, banque et cloud. Activez-la partout possible.
Les utilisateurs OneLogin ont payé cher cette leçon : aucun service n'est infaillible. Suivez les recommandations si concerné, ou renforcez vos pratiques dès maintenant.
Avez-vous été impacté par le piratage OneLogin ? Cela change-t-il votre vision des gestionnaires de mots de passe et SSO ? Dites-le-nous en commentaires !
