OneLogin reconnaît une importante brèche de sécurité

OneLogin compte parmi les « visionnaires » des services de gestion des identités en mode service, si l’on en croît l’édition 2016 du quadrant magique de Gartner pour le marché de l’IDaaS, aux côtés de Ping Identity et de SailPoint, notamment. Mais un incident pourrait venir sérieusement ternir son image.

Dans un billet de blog, OneLogin indique avoir « détecté un accès non autorisé à ses données dans la région US », sans fournir de détails, sinon qu’il « travaille avec une entreprise de sécurité indépendante pour déterminer comment l’accès est survenir et vérifier l’étendue de l’impact de cet incident ».

Mais le fournisseur de service semble oublier là l’essentiel, communiqué dans un message adressé à ses clients concernés, et obtenu par nos confrères de Motherboard : des données clients ont été compromises, « y compris la possibilité de déchiffrer des données chiffrées ».

Dans une page de support réservée à ses clients, OneLogin est plus prolixe, détaillant des mesures à prendre qui donnent un aperçu de la gravité de la situation. 

Holy shit. #OneLogin clients... tomorrow is gonna be a long day. pic.twitter.com/grNJwAlnYq

— D⭕️M (@nerdybeard) June 1, 2017

Et la liste, longue, promet des jours difficiles aux clients de OneLogin : générer de nouveaux certificats pour ceux qui utilisent le SSO basé sur SAML, de nouvelles clés d’API pour Oauth, de nouveaux jetons d’annuaire, de nouveaux identifiants et jetons pour les postes de travail… ou encore forcer la réinitialisation de mot de passe pour tous les utilisateurs gérés par annuaire répliqué. Sans compter le « recyclage de tous les secrets stockés dans Secure Notes », entre autres.

Dans une déclaration, Christophe Jolly, de Vectra Networks, souligne l’ampleur du risque : « le SSO est comme une clé maître, qui donne aisément accès à de multiples applications et sites Web. C’est quelque chose de très alléchant pour les cybercriminels ».

Ce n’est pas la première fois que les risques associés à ce type d’outils ou de services assurément critiques sont évoqués. En juillet dernier, des vulnérabilités avaient été découvertes dans LastPass. Dashlane avait suivi.

Mais l’attaque de OneLogin renvoie plutôt à celle dont avait été victime RSA début 2011, et qui l’avait conduit à remplacer un grand nombre de tokens SecurID. Cette attaque en aurait notamment permis deux autres, visant Lockheed Martin et Northrop Grumman, des clients de RSA. A l’époque, Art Coviello, alors président exécutif de l’éditeur, avait souligné que ce dernier n’avait été qu’une cible intermédiaire, un moyen pour toucher la cible principale : des fournisseurs de l’armée américaine.

Christophe Jolly relève que la même logique pourrait être ici à l’œuvre : « ces données peuvent soit être vendues, soit être utilisées directement pour d’autres intrusions et vols de données ». Savoir quand a commencé l’intrusion chez OneLogin s’avèrera sans doute essentiel pour ses clients. Il en revendique plus de 2000 dans 44 pays.

L’an dernier, Gartner indiquait que OneLogin bénéficiait de « références solides, appréciant la fiabilité du support et du service ». Il apparaît plus que probable que cet incident l’amènera à redoubler d’efforts, notamment en matière de transparence, pour la sécurité de ses services. Une pression à laquelle ses concurrents n’échapperont probablement pas, y compris pour les leaders du marché, identifiés comme tels par Gartner, Okta, Centrify, et Microsoft.