Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Le prestataire SSO OneLogin victime d'une importante fuite de données

Une journée complexe pour les administrateurs
Internet 3 min
Le prestataire SSO OneLogin victime d'une importante fuite de données
Crédits : RomoloTavani/iStock

Le prestataire OneLogin, qui fournit une solution de type SSO (Single Sign On), a confirmé avoir été victime d’une brèche dans ses défenses durant la journée du 31 mai. Les utilisateurs concernés, tous dans la région américaine, ont été avertis que leurs données ont pu être dérobées.

OneLogin est un service commercial permettant aux clients de disposer d’une solution complète de SSO et de gestion d’identité. Citizen, Condé Nast, Yelp, Zendesk, Dell, Pandora ou encore Pinterest y font appel. Les principales technologies utilisées sont le SAML (Security Assertion Markup Language), WS-Federation et OpenID.

Utilisé par plusieurs centaines d’entreprises, OneLogin est donc au carrefour de bien des services. Aussi, quand l’éditeur confirme qu’une attaque a bien eu lieu et que des données personnelles et autres informations ont pu être exposées, l'inquiétude est de mise. Quand on sait que OneLogin peut servir de gestionnaire de mots de passe à l’échelle d’une entreprise entière, on comprend la portée de l’incident.

Tous les utilisateurs aux États-Unis

On ne sait ni comment, ni pourquoi, mais des pirates ont réussi à s’emparer des clés Amazon Web Services de OneLogin. C’est en l’essence ce qu’explique l’éditeur dans un communiqué de presse. De là, ils ont utilisé les API AWS pour créer de nouvelles instances et partir à la découverte de l’infrastructure mise en place.

Une fois bien installés, les pirates ont pu accéder aux bases de données et récupérer des « informations sur les clients, les applications et divers types de clés ». Puis la sentence tombe : « Bien que nous chiffrions les données sensibles, nous ne pouvons pas écarter actuellement la possibilité que l’attaquant ait obtenu la possibilité de les déchiffrer ». En clair, les données ont été compromises.

Tous les clients de OneLogin situé dans la région États-Unis sont touchés. L’éditeur n’a pas indiqué combien de victimes étaient à déplorer, mais ceux qui sont considérés comme touchés ont tous reçu un email expliquant la situation.

Une longue suite d'actions à effectuer

Les entreprises concernées par la fuite de données vont avoir du pain sur la planche. Dans le mail qu’elles ont reçu, on trouve en effet une page de support (accessible uniquement aux clients) fournissant toute une série d’actions à réaliser pour remédier à la situation, et les administrateurs risquent d’y passer de longues heures.

Il va falloir ainsi commencer par une remise à zéro forcée de tous les mots de passe des utilisateurs, une action prévisible. La liste des étapes suivantes donne un aperçu de la situation :

  • Générer de nouveaux certificats pour les applications utilisant la solution SSO en SAML
  • Générer de nouveaux identifiants API via des jetons OAuth
  • Générer et appliquer de nouveaux jetons pour les Active Directory Connectors et LDAP Directory Connectors
  • Mettre à jour les identifiants API et OAuth utilisés pour se connecter à d’autres services d’annuaires comme G Suite, Workday, Namely et UltiPro
  • Générer et appliquer de nouveaux jetons Desktop SSO
  • Se débarrasser de toute information secrète qui aurait été stockée dans les Secure Notes
  • Changer les identifiants utilisés pour l’authentification à applications tierces pour l’allocation de ressources (provisioning)

La liste continue, notamment avec le remplacement des informations sensibles et partagées RADIUS.

OneLogin cherche la cause de cette brèche

Dans son communiqué, l’éditeur indique évidemment qu’une enquête est en cours pour déterminer les moyens utilisés par les pirates pour s’introduire. OneLogin annonce par ailleurs travailler avec une société de sécurité indépendante, qui n’est pas nommée.

Comme toujours dans ce genre de cas, la société précise en outre qu’elle « travaille activement » à trouver les bons moyens pour que ce type d’incident ne se reproduise plus. Elle ajoute que les clients seront tenus informés des avancées dans ce domaine.

Les clients, justement, pourraient bien être échaudés. La fuite est particulièrement sérieuse, et ce n’est pas la première. En août 2016, un bug faisait apparaître les identifiants en clair dans le service Secure Notes.

16 commentaires
Avatar de AlexKevler Abonné
Avatar de AlexKevlerAlexKevler- 02/06/17 à 09:29:29

Et on va apprendre qu'en fait sur un dépôt GitHub ouvert, le stagiaire avait commité les clés privées de leurs instances.

Avatar de Tydher Abonné
Avatar de TydherTydher- 02/06/17 à 09:50:00

 Pendant que je mets les distrib Centos à jour ici, ca me réconforte de penser que certains passeront leur weekend sur la remise à plat de SSO de l'autre côté de l'atlantique.
 
Je savais que j'aurais dû faire cuistot :) 

Édité par Tydher le 02/06/2017 à 09:50
Avatar de _Quentin_ Abonné
Avatar de _Quentin__Quentin_- 02/06/17 à 09:53:50

Tiens, ma boite a lancé un reset forcé de mdp de tous les comptes des employés hier soir, je me demande si c'est lié

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 02/06/17 à 11:01:06

J'ai très hâte de savoir ce qu'il s'est passé :popcorn:

Avatar de Rowin Abonné
Avatar de RowinRowin- 02/06/17 à 11:36:19

Pourquoi forcément le stagiaire :pleure:

Avatar de TexMex Abonné
Avatar de TexMexTexMex- 02/06/17 à 11:43:06

Rowin a écrit :

Pourquoi forcément le stagiaire :pleure:

Parce que c'est toujours le stagiaire. C'est bien connu.
 Et ça évite le blâme aux titulaires.

   

Avatar de Juju251 Abonné
Avatar de Juju251Juju251- 02/06/17 à 11:45:30

Encore une fois on se rend compte des bénéfices de la centralisation ...
L'histoire des clés AWS, le problème proviendrait de chez One Login ou de chez Amazon Web Services ?

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 02/06/17 à 12:10:21

Juju251 a écrit :

Encore une fois on se rend compte des bénéfices de la centralisation ...
L'histoire des clés AWS, le problème proviendrait de chez One Login ou de chez Amazon Web Services ?

Mais clair...
C'est trop bien d'externaliser dans le Cloud :dd:

Avatar de Wellit INpactien
Avatar de WellitWellit- 02/06/17 à 12:33:35

A quand une solution vraiment sécurisé et personnelle sans centralisation.

Du genre un boîtier générateur de login non connecté à Internet et non falcifiable et dont la méthode de login ne soit pas géré par l'administrateur.

Avatar de Freeben666 Abonné
Avatar de Freeben666Freeben666- 02/06/17 à 12:43:04

Genre un token RSA ?

Il n'est plus possible de commenter cette actualité.
Page 1 / 2