Envoyé par Abine inc.
Le cas Blur n’est pas isolé. À mi parcours de l’année 2015, l’entreprise de gestion des mots de passe en ligne (Lastpass) a annoncé la compromission de son réseau. Elle écrivait alors : « Nous souhaitons informer notre communauté que notre équipe a détecté et immédiatement bloqué une activité douteuse sur notre réseau. D’après nos investigations, nous n’avons aucune preuve que les données cryptées de nos utilisateurs ont été compromises, tout comme l’accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage et le hachage d’authentification ont été compromis. » Le communiqué de Lastpass parlait d’activité douteuse ce qui laisse penser à une attaque externe. À contrario, la note d’information d’Abine inc. relève quasiment de l’aveu de l’erreur de ses administrateurs. Là encore, Abine inc. n’est pas seule sur un îlot. Sur cette plateforme, les nouvelles de fuite de données occasionnées par des erreurs de configuration sont légion comme on peut le voir avec les cas SVR Tracking ou encore GoDaddy. D’ailleurs, même les USA ont connu l'une des plus grosses fuite des données à cause d’un service de stockage AWS non sécurisé.
De telles situations posent le problème de l’utilisation de systèmes propriétaires ou de service cloud pour la gestion des mots de passe. Ces choix surprennent quand on sait que l’offre en alternatives open source et auto-hébergeable est assez fournie de nos jours.
Source : Abine
Et vous ?
Qu’en pensez-vous ?
Gestionnaire de mots de passe dans le cloud ou en auto-hébergement ... De quel bord êtes-vous ?
Voir aussi :
Le gestionnaire de mots de passe LastPass piraté, l'entreprise suggère plusieurs mesures dont le changement du mot de passe maitre
Des données chiffrées du service de gestion de mots de passe OneLogin ont été exposées pendant une intrusion malveillante