La société de gestion de mot de passe OneLogin a envoyé à ses clients un courrier électronique pour les avertir que leurs données ont été compromises après un piratage.
La promesse implicite de la gestion de mot de passe et des services de connexion unique comme OneLogin est qu’ils gardent vos informations d’identification en toute sécurité et privées, de sorte que vous n’ayez pas à vous soucier de vous en souvenir ou de les écrire dans un endroit peu sûr. En tant que tel, il n’est pas rare que ces services eux-mêmes deviennent la cible d’attaques malveillantes afin de piller les données de leurs clients. Il est quelque peu rare, cependant, que ces services soient victimes d’une violation très grave de la sécurité, comme ce qui est arrivé à OneLogin à la fin du mois dernier.
Contrairement à un gestionnaire de mot de passe dédié comme LastPass ou 1Password, l’idée d’un service de connexion unique comme OneLogin est que vous n’aurez pas à créer et à maintenir des comptes d’utilisateurs et des mots de passe distincts pour une multitude de sites et de services. Vous devez uniquement saisir vos informations d’identification OneLogin sur des sites qui prennent en charge le service et OneLogin prend ensuite soin de l’authentification. En tant que plateforme utilisée par de nombreuses entreprises et professionnels, OneLogin avait donc une grande cible peinte sur son dos. Et quelqu’un a apparemment décidait de frapper.
Le 31 mai, OneLogin a détecté un accès non autorisé à ses bases de données aux États-Unis. Bien que ses équipes aient pu arrêter les parties du service qui auraient pu être affectées, cela s’est produit tardivement. En quelques minutes, l’attaquant a pu accéder aux informations de la base de données, y compris les utilisateurs, les applications et les clés. Mais ce n’est pas vraiment la pire partie.
De nombreux services chiffrent les données, parfois au grand regret des autorités, afin de s’assurer que même si les données sont volées ou fuitées, elles restent encore protégées. Un tel cryptage, cependant, est inutile si l’attaquant a la possibilité de décrypter ces données. Malheureusement pour OneLogin et ses clients, cela pourrait être exactement ce qui s’est passé ici.
OneLogin dit avoir déjà informé ses clients des actions nécessaires pour protéger leurs données et leurs comptes, mais il suffit de le dire, ce sera beaucoup de travail tant pour l’entreprise que pour les utilisateurs. L’enquête est encore en cours, mais il n’est pas difficile d’imaginer que l’image de OneLogin va prendre un sacré coup après cet incident.
