Le gestionnaire de mots de passe OneLogin victime de piratage
OneLogin recommande à ses utilisateurs de modifier leurs mots de passe. L’entreprise compte près de 2.000 entreprises clientes à travers le monde.
Confier son mot de passe à un gestionnaire n’est pas toujours suffisant pour se protéger. Le service de protection de mots de passe américain OneLogin a déclaré ce mercredi avoir été victime d’un piratage. «L’acteur de l’attaque a pu accéder aux bases de données contenant des informations sur les utilisateurs, les applications et les différents types de clés [de déchiffrement]» a indiqué la société dans un post de blog.
OneLogin permet aux utilisateurs d’accéder à plusieurs applications Web, sites et services, en se servant d’un seul et unique mot de passe. Utile et plus fiable que la mémoire des utilisateurs eux-mêmes, il s’est néanmoins avéré faillible. La société compterait des millions d’utilisateurs, et plus de 2 000 entreprises clientes dans des dizaines de pays, selon le répertoire américain CrunchBase. Parmi elles, des multinationales telles que Conde Nast et Dropbox.
Dans un email envoyé à ses clients, la société n’écarte pas la possibilité que les pirates informatiques impliqués dans l’attaque aient «la capacité de déchiffrer les données chiffrées». Elle indique avoir bloqué l’accès non autorisé à ces données et coopérer avec les forces de l’ordre pour trouver une solution au plus vite.
Changer son mot de passe
La société a conseillé aux clients de modifier leurs mots de passe. Si une même combinaison est utilisée pour accéder à d’autres sites ou applications, il est recommandé de la changer également. Les identifiants trouvés pourront en effet être testés sur d’autres services grand public par les responsables du piratage, pour tenter de s’y connecter.
OneLogin n’est pas le premier gestionnaire de mot de passe à être visé par une attaque informatique. Ces services, riches en informations personnelles, constituent une cible de choix pour les hackers. Ils font l’objet de débats récurrents dans le milieu de la sécurité informatique. En juin 2015, LastPass avait fait les frais d’une faille informatique donnant accès à plusieurs informations de ses utilisateurs: leurs adresses mail, des indices permettant de retrouver leur mot de passe «maître», permettant de récupérer tous les autres.
Elsa Trujillo
LeFigaro.fr