srtt.be Le partenaire informatique de votre société

info@srtt.be +32 4 287 71 51
 

Cela fait plusieurs années que fleurissent des services en ligne de gestion de mots de passe, ou même d'informations plus sensibles.

Pour les utilisateurs, c'est assurément pratique. Mémoriser des dizaines de mots de passe forts est impossible au commun des mortels. Par contre, en gérer un qui donne l'accès à tous les autres, c'est en général possible. Si en plus on peut y accéder de n'importe où à partir de son PC, de sa tablette ou de son smartphone, c'est encore mieux.

Cerise sur le gâteau, si un mot de passe unique donne accès automatiquement à tous les sites auxquels on est abonné, c'est quand même beaucoup plus simple. Techniquement, dans notre jargon, nous nommons cela le SSO ou Single Sign-On ou encore Connexion Unique.

Oui assurément, c'est pratique, mais la sécurité dans tout ça ?

Un des géants dans ce domaine, la société OneLogin, vient de se faire hacker. Via un chemin détourné, une personne malveillante est parvenue à accéder mercredi dernier, le 31 mai, aux bases de données des serveurs situés aux USA. OneLogin, outre de nombreux clients privés, ce sont aussi 2000 entreprises abonnées dont certaines sont d'importantes multinationales.

Les résultats de cette attaque dépassent toutes les craintes puisqu'un responsable de la société admet que le hacker a eu accès aux bases de données, dont certaines, mais pas toutes donc, sont encryptées. Pire, les méthodes de décryptage de ces données ont peut-être été aussi piratées. ( source : https://www.onelogin.com/blog/may-31-2017-security-incident )

Ce n'est qu'après 7 heures d'activité anormale que le problème a été détecté.

En résumé le hacker a pu, en toute tranquillité et pendant 7 heures, dérober une quantité faramineuse de mots de passe en clair ou encore d'autres informations techniques.

Ce type de service est critique en termes de sécurité. Sans rentrer dans les détails, les mots de passe, ou autres éléments d'identification, doivent pouvoir être utilisé "en clair" donc, même s'ils sont cryptés dans les bases de données, ils doivent être décryptés pour être utilisés. Ce n'est pas le cas des services finaux, comme les serveurs emails par exemple, qui conservent et utilisent les identifiants sous une forme cryptée.

 Seule solution pour les utilisateurs, changer tous leurs mots de passe en espérant qu'ils n'ont pas déjà été utilisés.

 

Nos conseils :

  • Utilisez un gestionnaire de mots de passe local tel KeePass qui est un outil open source certifié et gratuit. Il génère en outre des mots de passe forts et les mémorise pour vous : http://keepass.info/
  • Les mots de passe sont comme des brosses à dent, choisissez-les avec soin, ne les partagez pas et changez-les régulièrement.
  • Sauvegardez souvent, dans un endroit sûr, le fichier utilisé par KeePass.

Découvrez srtt.be

Contactez-nous !