Nous sommes de grands fans de gestionnaires de mots de passe chez MakeUseOf. Ils vous facilitent la vie, accélèrent de nombreux processus et améliorent votre sécurité. Mais ils concentrent également vos informations de mot de passe sensibles en un seul endroit, ce qui peut être dangereux.
Exemple concret :OneLogin, le producteur d'une application d'authentification unique et de gestion des mots de passe au niveau de l'entreprise, a été piraté le 31 mai 2017. Et c'est vraiment une mauvaise nouvelle. Voici ce qui s'est passé, ce que vous devez faire et quelques leçons que nous pouvons en tirer.
Voici ce que dit OneLogin :
"... un pirate a utilisé l'une de nos clés AWS pour accéder à notre plate-forme AWS via l'API à partir d'un hôte intermédiaire avec un autre fournisseur de services plus petit aux États-Unis..."
Qu'est-ce que ça veut dire? Cela signifie que quelqu'un regardait les données sensibles de OneLogin. Et bien qu'une grande partie de ces données soient chiffrées, OneLogin pense que les attaquants ont pu déchiffrer au moins certaines des données.
Dès que les techniciens OneLogin ont détecté l'intrusion, ils ont arrêté les systèmes infiltrés. Malheureusement, il a été rapporté qu'ils n'ont détecté l'intrusion que sept heures après son début. C'est beaucoup de temps pour fouiller dans des données sensibles.
À quel type de données les attaquants auraient-ils pu avoir accès ?
"L'auteur de la menace a pu accéder aux tables de la base de données contenant des informations sur les utilisateurs, les applications et divers types de clés."
Bien que l'on ne sache pas exactement quelle est la portée de cette liste, il s'agit certainement de beaucoup de choses sensibles.
À leur crédit, OneLogin a été très franc à propos de cet incident. Ils ont mis à jour un article de blog sur leur site, communiqué avec les clients au sujet de l'attaque et fourni des conseils sur la marche à suivre. Rien n'indique jusqu'à présent que l'entreprise ait obscurci ce qui s'est passé. (Bien qu'ils aient peut-être quelque peu minimisé la gravité de l'attaque.)
OneLogin a rapidement publié un guide pour aider les utilisateurs à atténuer les effets de l'attaque (The Register a également publié cette liste pour les non-clients). La liste comprend des réinitialisations de mot de passe, de nouveaux jetons d'authentification, la suppression des notes sécurisées et un certain nombre d'autres suggestions techniques de niveau administrateur.
Si vous êtes un utilisateur de OneLogin, la marche à suivre évidente est beaucoup plus simple :changez vos mots de passe et mettez à jour vos jetons d'authentification. Cela va prendre un certain temps, mais cela en vaut la peine, car il y a de fortes chances que quelqu'un ait accès à tout ce que vous avez stocké dans votre compte. Modifiez votre mot de passe principal, modifiez les mots de passe de vos applications, modifiez tout ce que vous avez stocké dans OneLogin.
Et supprimez vos notes sécurisées.
Oui, ça va chier. Mais ce sera beaucoup moins nul que de voir l'un de vos services importants pris en charge par un attaquant (ou, peut-être pire, retenu contre rançon).
La première leçon, et la plus inquiétante, est claire :les sociétés de gestion de l'authentification unique (SSO) et des mots de passe ne sont pas à l'abri des menaces de sécurité. Ces entreprises savent que la sécurité est importante pour leurs clients et qu'elles détiennent une énorme quantité d'informations précieuses.
Mais de mauvaises choses arrivent. Dans ce cas, les clés API qui ont permis aux attaquants d'accéder à OneLogin provenaient "d'un hôte intermédiaire avec un autre fournisseur de services plus petit aux États-Unis". Malgré l'engagement de OneLogin en matière de sécurité, les lacunes d'une autre entreprise ont peut-être laissé entrer les attaquants.
Malheureusement, aucune entreprise n'est à l'épreuve du piratage. Les sociétés de gestion de mots de passe et de SSO prennent la sécurité très au sérieux et y font généralement du bon travail. Mais cela devait arriver.
À l'avenir, que pouvez-vous faire ? Voici quelques éléments à garder à l'esprit lorsque vous utilisez ces types de services.
Évidemment, vous allez conserver vos mots de passe dans votre application de gestion des mots de passe. Mais devrait-il être le référentiel de tous de vos informations sensibles ? Peut-être pas.
Il est facile d'utiliser les notes sécurisées de LastPass, par exemple, pour conserver vos informations de compte bancaire ou votre mot de passe Wi-Fi domestique. Mais si ce service est piraté, vous êtes maintenant confronté à encore plus de problèmes. Il se peut que vos informations de carte de crédit soient déjà stockées. Pourtant, si vous ajoutez quelques informations clés supplémentaires, le vol d'identité devient beaucoup plus facile.
Envisagez d'utiliser un autre service crypté qui ne stocke pas d'informations dans le cloud, comme SplashID, ou simplement de crypter et de protéger par mot de passe un dossier sur votre ordinateur. C'est un peu moins pratique, mais cela pourrait réduire considérablement la difficulté en cas de violation.
Le SSO est génial car il permet de gagner beaucoup de temps et de réduire au minimum vos mots de passe. OpenID, la connexion avec des informations d'identification de réseau social et d'autres méthodes similaires sont très populaires. (Pour être tout à fait honnête, je les utilise moi-même.)
L'option la plus sécurisée consiste simplement à ouvrir un compte avec votre adresse e-mail pour chaque site. Si vous utilisez un gestionnaire de mots de passe, c'est facile. Pas aussi simple qu'OAuth ou une connexion en un clic similaire, mais c'est nettement plus sécurisé.
Pour être juste, certaines personnes encouragent l'utilisation de l'authentification unique comme pratique de sécurité. Évaluez vos options.
Nous avons parlé de l'authentification à deux facteurs d'innombrables fois, mais si vous ne la connaissez pas, lisez tout à ce sujet et découvrez quels services peuvent l'utiliser. Allumez-le ensuite.
Pour quels services devriez-vous utiliser l'authentification à deux facteurs ? Bref, autant que vous le pouvez. Vos services les plus importants, comme le courrier électronique, les services bancaires et le stockage en nuage, devraient certainement en être protégés. Tout le reste est un bonus. Faites-le maintenant.
Les utilisateurs de OneLogin ont appris une dure leçon :aucun service n'est sécurisé à 100 %. C'était une façon particulièrement dure d'apprendre cette leçon, mais à long terme, c'est peut-être pour le mieux. Si vous êtes un utilisateur OneLogin, vous devriez vous occuper de ramasser les morceaux. Si ce n'est pas le cas, considérez-vous chanceux et prenez des mesures pour vous assurer que cela ne vous arrive pas.
Avez-vous été affecté par le piratage OneLogin ? Cela vous fait-il réfléchir à deux fois aux gestionnaires de mots de passe ou aux applications d'authentification unique ? Partagez vos impressions dans les commentaires ci-dessous !