Le prestataire OneLogin, qui fournit une solution de type SSO (Single Sign On), a confirmé avoir été victime d’une brèche dans ses défenses durant la journée du 31 mai. Les utilisateurs concernés, tous dans la région américaine, ont été avertis que leurs données ont pu être dérobées.
OneLogin est un service commercial permettant aux clients de disposer d’une solution complète de SSO et de gestion d’identité. Citizen, Condé Nast, Yelp, Zendesk, Dell, Pandora ou encore Pinterest y font appel. Les principales technologies utilisées sont le SAML (Security Assertion Markup Language), WS-Federation et OpenID.
Utilisé par plusieurs centaines d’entreprises, OneLogin est donc au carrefour de bien des services. Aussi, quand l’éditeur confirme qu’une attaque a bien eu lieu et que des données personnelles et autres informations ont pu être exposées, l'inquiétude est de mise. Quand on sait que OneLogin peut servir de gestionnaire de mots de passe à l’échelle d’une entreprise entière, on comprend la portée de l’incident.
Tous les utilisateurs aux États-Unis
On ne sait ni comment, ni pourquoi, mais des pirates ont réussi à s’emparer des clés Amazon Web Services de OneLogin. C’est en l’essence ce qu’explique l’éditeur dans un communiqué de presse. De là, ils ont utilisé les API AWS pour créer de nouvelles instances et partir à la découverte de l’infrastructure mise en place.
Une fois bien installés, les pirates ont pu accéder aux bases de données et récupérer des « informations sur les clients, les applications et divers types de clés ». Puis la sentence tombe : « Bien que nous chiffrions les données sensibles, nous ne pouvons pas écarter actuellement la possibilité que l’attaquant ait obtenu la possibilité de les déchiffrer ». En clair, les données ont été compromises.
Tous les clients de OneLogin situé dans la région États-Unis sont touchés. L’éditeur n’a pas indiqué combien de victimes étaient à déplorer, mais ceux qui sont considérés comme touchés ont tous reçu un email expliquant la situation.
Une longue suite d'actions à effectuer
Les entreprises concernées par la fuite de données vont avoir du pain sur la planche. Dans le mail qu’elles ont reçu, on trouve en effet une page de support (accessible uniquement aux clients) fournissant toute une série d’actions à réaliser pour remédier à la situation, et les administrateurs risquent d’y passer de longues heures.
Il va falloir ainsi commencer par une remise à zéro forcée de tous les mots de passe des utilisateurs, une action prévisible. La liste des étapes suivantes donne un aperçu de la situation :
- Générer de nouveaux certificats pour les applications utilisant la solution SSO en SAML
- Générer de nouveaux identifiants API via des jetons OAuth
- Générer et appliquer de nouveaux jetons pour les Active Directory Connectors et LDAP Directory Connectors
- Mettre à jour les identifiants API et OAuth utilisés pour se connecter à d’autres services d’annuaires comme G Suite, Workday, Namely et UltiPro
- Générer et appliquer de nouveaux jetons Desktop SSO
- Se débarrasser de toute information secrète qui aurait été stockée dans les Secure Notes
- Changer les identifiants utilisés pour l’authentification à applications tierces pour l’allocation de ressources (provisioning)
La liste continue, notamment avec le remplacement des informations sensibles et partagées RADIUS.
OneLogin cherche la cause de cette brèche
Dans son communiqué, l’éditeur indique évidemment qu’une enquête est en cours pour déterminer les moyens utilisés par les pirates pour s’introduire. OneLogin annonce par ailleurs travailler avec une société de sécurité indépendante, qui n’est pas nommée.
Comme toujours dans ce genre de cas, la société précise en outre qu’elle « travaille activement » à trouver les bons moyens pour que ce type d’incident ne se reproduise plus. Elle ajoute que les clients seront tenus informés des avancées dans ce domaine.
Les clients, justement, pourraient bien être échaudés. La fuite est particulièrement sérieuse, et ce n’est pas la première. En août 2016, un bug faisait apparaître les identifiants en clair dans le service Secure Notes.
