« Nous avons détecté un accès non autorisé aux données OneLogin dans notre base opérationnelle américaine. Après avoir bloqué cet accès non autorisé, nous avons immédiatement signalé l’incident aux autorités compétentes et avons commencé à travailler avec une firme de sécurité indépendante pour déterminer comment l’accès non autorisé s’est produit et vérifier l’ampleur de l’impact de cet incident. Nous voulons que nos clients sachent que la confiance qu’ils ont placée en nous est primordiale.
Nos investigations sont toujours en cours, mais nous avons déjà contacté les clients affectés par cette intrusion et nous leur avons communiqué la procédure recommandée à suivre pour remédier à cette situation. Actuellement, nous nous employons activement à déterminer la meilleure façon de prévenir l’apparition d’un tel incident à l’avenir et nous tiendrons nos clients informés à mesure que ces améliorations seront mises en œuvre. » Tels sont les propos d'Alvaro Hoyos, le responsable de la sécurité de l’information chez OneLogin, rapportés sur la page officielle de l'entreprise.
OneLogin n'est certainement pas la première entreprise du secteur à subir ce genre d'attaque. En 2015 déjà, l’entreprise de gestion de mots de passe en ligne LastPast avait été victime d'un piratage similaire qui avait compromis la sécurité de son réseau.
Avec l'expansion rapide des services accessibles en ligne (Amazon Web Services, Microsoft Office 365, Slack, Cisco Webex, Google Analytics, LinkedIn...) les internautes ont parfois du mal à mémoriser tous les mots de passe dont ils se servent. C’est pour résoudre ce problème que des services de gestion de mots comme OneLogin ont été mis en place. OneLogin offre un service de connexion unique, permettant aux utilisateurs d’accéder à plusieurs applications et sites avec un seul mot de passe, notamment Amazon Web Services, Microsoft Office 365, Slack, Cisco Webex, Google Analytics et LinkedIn, entre autres. Il est important de garder à l'esprit que des millions d'internautes, et plus de 2000 entreprises de toutes les tailles utilisent au quotidien ce service. Les faits décrits précédemment ont eu lieu le 31 mai 2017. Ils ont affecté tous les clients desservis par le centre de données américain.
OneLogin a apporté de nouvelles précisions concernant le déroulement d’attaque, les impacts éventuels sur ses clients et la suite des opérations.
OneLogin gère les mots de passe, les clés de chiffrement et les certificats. Les mots de passe enregistrés dans la base de données sont toujours hachés ou chiffrés. Les authentifications peuvent s'effectuer soit sur leur portail via une connexion sécurisée de type TLS utilisant un certificat numérique avec une clé RSA de 2048 bits, soit par le protocole de sécurité SAML, soit via un formulaire d'authentification en prenant soin de chiffrer les mots de passe avec le chiffrement AES-256. Les mots de passe qui sont utilisés via un formulaire d'authentification sont stockés dans un système propriétaire appelé Password Vault en utilisant des niveaux redondants de chiffrement. Le faible nombre d'applications qui ne prennent pas en charge SAML fournissent le mot de passe à l'aide de l'API de l'application via une connexion SSL ou TLS. Les clés privées et symétriques sont stockées soit dans un module de sécurité matérielle (HSM) conçu pour le stockage des clés, soit au niveau du système d'exploitation et leur accès est très restreint.
OneLogin protège les mots de passe des applications à l'aide d'un ensemble de clés symétriques de chiffrement protégées. L'application génère automatiquement une clé par compte qui est utilisée pour chiffrer les mots de passe. Cette clé elle-même est chiffrée à l'aide de la clé principale de OneLogin. Ces clés sont stockées dans des endroits distincts avec accès très restreint. L'accès à la clé maître est surveillé en temps réel. Leurs sauvegardes se font via TLS en utilisant le chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3). L'accès aux fichiers de sauvegarde stockés est lui aussi surveillé en temps réel.
D’après les dernières informations liées à l’enquête révélées par OneLogin, l’auteur de l’intrusion a obtenu l’accès à un ensemble de clés AWS, dont il se serait ensuite servi pour accéder à l'API AWS à partir d’un hôte intermédiaire avec un autre plus petit prestataire de services aux États-Unis. L’intrus a, par la suite, utilisé l’API AWS pour créer plusieurs instances au sein de l'infrastructure afin d’effectuer des reconnaissances. Il a eu accès aux tables de base de données qui contiennent les informations sur les utilisateurs (particuliers ou entreprises), les applications et les différents types de clés. Bien que OneLogin prenne soin de chiffrer certaines données sensibles en repos, il n’est, cependant, pas exclu qu’à ce moment-là, l’auteur de l’attaque ait eu la possibilité de déchiffrer certaines données. Cela revient à dire que les pirates ont aspiré tout ce qui s’y trouvait, y compris, probablement, les algorithmes qui permettent de déchiffrer les données chiffrées des serveurs de OneLogin.
Le personnel de OneLogin s’est rendu compte de l’activité anormale sur la base de données. Ils ont alors fermé les instances concernées, de même que les clés AWS qui ont été utilisées pour les créer. Par souci de prudence, OneLogin a contacté ses clients et leur a recommandé d’effectuer les actions nécessaires prévues à cet effet. L'entreprise leur a également a envoyé un mail précisant qu’« à cause des investigations actives menées en collaboration étroite avec les instances judiciaires compétentes, elle n’est pas en mesure de divulguer tous les détails relatifs à l'enquête. »
Les experts en sécurité ont déclaré que cette attaque était « inquiétante » et qu'elle démontrait, au moins, qu’aucune entreprise n’est à l’abri.
« Les entreprises doivent comprendre les risques liés à l’utilisation de systèmes basés sur le cloud », a déclaré à la BBC le professeur Bill Buchanan de l’Université d’Édimbourg Napier. « Elles doivent prendre l’habitude de chiffrer les informations sensibles avant de les transmettre dans des systèmes de cloud et veiller à ce que leurs clés de chiffrement ne soient pas distribuées à des agents malveillants. »
« Il est presque impossible de déchiffrer des données qui utilisent un chiffrement fort, à moins que la clé de chiffrement ne soit générée à partir d’un simple mot de passe », a-t-il ajouté.
Pour sa part, le consultant en sécurité informatique Ben Schlabs a déclaré à la BBC qu’il était fort probable que les données compromises comprenaient des mots de passe protégés à l’aide de « hachage. » Il a terminé en précisant que dans ce cas, « la sécurité des données dépendrait alors de la force des mots de passe et des mots de passe hachés. »
Source : OneLogin, BBC, FAQ OneLogin
Et vous ?
Qu'en pensez-vous ?
Le cloud favorise-t-il le piratage ou le rend-il plus difficile ?
Quel est, selon vous, le meilleur moyen d'éviter ce genre de scénario ?
Voir aussi
Les pirates ont-ils compris avant les autres les avantages du cloud ? Un hacker exploite AmazonEC2 pour casser l'algorithme SHA-1
Un hacker détourne les appels destinés aux services secrets via Google Maps en créant de fausses fiches sur la carte interactive
Des données chiffrées du service de gestion de mots de passe OneLogin ont été exposées
Pendant une intrusion malveillante
Des données chiffrées du service de gestion de mots de passe OneLogin ont été exposées
Pendant une intrusion malveillante
Le , par Christian Olivier
Une erreur dans cette actualité ? Signalez-nous-la !