Le gestionnaire de mots de passe Blur expose les data de près de 2,4 millions d'utilisateurs
à cause d'une erreur de configuration d'instance AWS
Le 2019-01-05 06:23:38, par Patrick Ruiz, Chroniqueur Actualités
C’est ce que laisse filtrer le communiqué de la société Abine inc. (qui édite le gestionnaire de mots de passe Blur) le dernier jour de l’année qui a tiré sa révérence.
Envoyé par Abine inc.
Le cas Blur n’est pas isolé. À mi parcours de l’année 2015, l’entreprise de gestion des mots de passe en ligne (Lastpass) a annoncé la compromission de son réseau. Elle écrivait alors : « Nous souhaitons informer notre communauté que notre équipe a détecté et immédiatement bloqué une activité douteuse sur notre réseau. D’après nos investigations, nous n’avons aucune preuve que les données cryptées de nos utilisateurs ont été compromises, tout comme l’accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage et le hachage d’authentification ont été compromis. » Le communiqué de Lastpass parlait d’activité douteuse ce qui laisse penser à une attaque externe. À contrario, la note d’information d’Abine inc. relève quasiment de l’aveu de l’erreur de ses administrateurs. Là encore, Abine inc. n’est pas seule sur un îlot. Sur cette plateforme, les nouvelles de fuite de données occasionnées par des erreurs de configuration sont légion comme on peut le voir avec les cas SVR Tracking ou encore GoDaddy. D’ailleurs, même les USA ont connu l'une des plus grosses fuite des données à cause d’un service de stockage AWS non sécurisé.
De telles situations posent le problème de l’utilisation de systèmes propriétaires ou de service cloud pour la gestion des mots de passe. Ces choix surprennent quand on sait que l’offre en alternatives open source et auto-hébergeable est assez fournie de nos jours.
Source : Abine
Et vous ?
Qu’en pensez-vous ?
Gestionnaire de mots de passe dans le cloud ou en auto-hébergement ... De quel bord êtes-vous ?
Voir aussi :
Le gestionnaire de mots de passe LastPass piraté, l'entreprise suggère plusieurs mesures dont le changement du mot de passe maitre
Des données chiffrées du service de gestion de mots de passe OneLogin ont été exposées pendant une intrusion malveillante
Le cas Blur n’est pas isolé. À mi parcours de l’année 2015, l’entreprise de gestion des mots de passe en ligne (Lastpass) a annoncé la compromission de son réseau. Elle écrivait alors : « Nous souhaitons informer notre communauté que notre équipe a détecté et immédiatement bloqué une activité douteuse sur notre réseau. D’après nos investigations, nous n’avons aucune preuve que les données cryptées de nos utilisateurs ont été compromises, tout comme l’accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage et le hachage d’authentification ont été compromis. » Le communiqué de Lastpass parlait d’activité douteuse ce qui laisse penser à une attaque externe. À contrario, la note d’information d’Abine inc. relève quasiment de l’aveu de l’erreur de ses administrateurs. Là encore, Abine inc. n’est pas seule sur un îlot. Sur cette plateforme, les nouvelles de fuite de données occasionnées par des erreurs de configuration sont légion comme on peut le voir avec les cas SVR Tracking ou encore GoDaddy. D’ailleurs, même les USA ont connu l'une des plus grosses fuite des données à cause d’un service de stockage AWS non sécurisé.
De telles situations posent le problème de l’utilisation de systèmes propriétaires ou de service cloud pour la gestion des mots de passe. Ces choix surprennent quand on sait que l’offre en alternatives open source et auto-hébergeable est assez fournie de nos jours.
Source : Abine
Et vous ?
Voir aussi :
-
ItachiaurionMembre confirméD'où le fait qu'il faut utiliser un gestionnaire de mot de passe qui travaille en local comme KeePass 2, on évite les déconvenues et cerise sur le gâteau c'est libre et gratuit. Si on s’inquiète pour la perte de la base de donnée ont peu simplement en faire une sauvegarde sur un support externe hors réseau.le 05/01/2019 à 10:50
-
heidMembre confirméJ'ai passé les deux dernier jours à analyser le résultat de l'outil "scout2" qui scane un compte AWS pour détecter de telles erreur de configuration, très bon outil.le 05/01/2019 à 8:55
-
Aiigl59Membre actifBonjour,
Keepass est un bon logiciel de gestion de mot de passe, libre et gratuit, un mot de passe maître verrouille la base de donnée des mots de passes enregistrés, il s'installe même en version portable sur une simple clef usb, en plus il existe en version Linux, mac et windows (la même base de données est accessible par les trois binaires sans problèmes), que demander de plus ? même en cas de perte de la clef usb, si le mot de passe maître est bien choisi, il y a très peu de chance que quelqu'un puisse déverrouiller la base de donnée qui est chiffré avec de bons algos au choix dans un onglet de config. (ex: AES/rijndael 256 bit) Et coté contrôle de tes données, on ne peut mieux, c'est toi le seul responsable et possesseur du coffre.
PS: J'ai un serveur NAS à la maison qui me sert à sauvegarder la Bdd et à synchroniser avec la clef usb, pas de risque de perte de cette base (redondance), si je change de clef, j'efface simplement la base qui est dessus ou je reformate complètement la clef si je ne m'en sert plus. idem pour le NAS.
Pour ce qui est du smartphone (androïd ou autres) la meilleure solution est de ne pas se connecter à des sites sécurisés avec ce genre d'appareil si je n'ai pas le mot de passe en tête.
Salutations
Lionelle 11/01/2019 à 12:24 -
tanaka59InactifLe meilleur gestionnaire de mot de passe c'est soi même
.
Retenir un seul mot de passe , celui de sa messagerie . Faire systématique "mot de passe oublié" pour chaque web service
Cela reviendrait a changer de barrilé et sa clef à chaque entrée dans son domicile . Contre le vols de clef ... c'est radical.le 05/01/2019 à 14:11 -
gangsoleilModérateurLe soucis de cette solution étant que beaucoup de gens se connectent depuis plusieurs endroits : PC du bureau, téléphone, tablette... La solution du logiciel "local" est inapplicable dans ce cas.le 08/01/2019 à 13:30