Le gestionnaire de mots de passe OneLogin a subi une attaque
Ces dernières années, bien des services en ligne se sont faits dérober leurs bases de données contenant identifiants et mots de passe. Systématiquement, ces couples ont été testés sur d'autres services en espérant que des utilisateurs les aient utilisés plusieurs fois, chose qui était fréquente.
Cela a conduit à la généralisation (très relative) de l'utilisation de mots de passe uniques pour chaque service, toujours plus complexes, et à celle de logiciels dédiés pour servir de coffres-forts logiciels pour les regrouper, les stocker et ne pas les oublier.
Bien entendu cela a aussi attiré la convoitise des pirates qui s'ils y arrivaient, pouvaient en piratant ces coffres-forts accéder d'un coup à l'intégralité des mots de passe.
Ils ont réussi avec le logiciel OneLogin, qui a annoncé qu'un de ses serveurs avait été piraté.
Motherboards a obtenu plus d'informations que ce que la société a publié sur son blog.
La société a donc été victime d'un piratage d'un de ses serveurs américains suite à une faille, et les pirates ont récupéré les bases de données chiffrées et les moyens de les décoder.
Tous les utilisateurs sont donc invités à réinitialiser ce service et probablement de changer tous les mots de passe qui étaient stockés dessus, une vraie galère.
Cette aventure rend une fois encore nos craintes sur l'avenir de la sécurité informatique et d'internet un peu plus tangibles. Nous sommes rentrés dans une ère de très grande précarité de notre sécurité avec la professionnalisation de groupes de pirates très actifs et très puissants qui œuvrent dans l'ombre pour pénétrer tous les systèmes possibles avec à la clé beaucoup d'argent à se faire ou un pouvoir pour les états qui en dirigent certains.
D'une certaine manière, on en a presque fini avec l'âge d'or d'internet et de ses services toujours plus ouverts et interconnectés.
Nous serons bientôt amenés à faire des compromis au nom de la sécurité et les premiers à le faire seront les fournisseurs de services même s'il faudra aussi en passer par un long et douloureux apprentissage des utilisateurs à la sécurisation même basique de leurs données.