IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Le gestionnaire de mots de passe Blur expose les data de près de 2,4 millions d’utilisateurs


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Redacteur web
    Inscrit en
    Février 2017
    Messages
    1 813
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Redacteur web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : Février 2017
    Messages : 1 813
    Points : 50 863
    Points
    50 863
    Par défaut Le gestionnaire de mots de passe Blur expose les data de près de 2,4 millions d’utilisateurs
    Le gestionnaire de mots de passe Blur expose les data de près de 2,4 millions d’utilisateurs
    À cause d’une erreur de configuration d’instance AWS

    C’est ce que laisse filtrer le communiqué de la société Abine inc. (qui édite le gestionnaire de mots de passe Blur) le dernier jour de l’année qui a tiré sa révérence.

    Citation Envoyé par Abine inc.

    Nous avons récemment découvert que certaines informations sur les utilisateurs de Blur étaient potentiellement exposées. Nous avons immédiatement pris des mesures pour enquêter, réagir et travailler afin d'éviter que cela ne se reproduise.

    Nous communiquons maintenant avec vous au sujet de ce qui s'est passé, des informations divulguées, des mesures que nous prenons et de celles que vous pouvez prendre, tout en prenant soin de ne pas compromettre nos systèmes ou processus de sécurité.

    Ce qui s'est passé

    Le jeudi 13 décembre 2018, nous avons appris que certaines informations sur les utilisateurs de Blur avaient été potentiellement exposés et avons immédiatement commencé à travailler pour assurer la sécurité de nos systèmes et de nos données, pour déterminer ce qui s'était passé et pour informer et aider nos utilisateurs. Nous avons également retenu les services d'une entreprise de sécurité de premier plan pour nous aider et nous avons avisé les responsables de l'application de la loi.

    Quelles informations ont été divulguées

    Un fichier contenant des informations sur les utilisateurs de Blur avant le 6 janvier 2018 a potentiellement été exposé. Ce fichier contenait les détails suivants sur les utilisateurs de Blur qui ont créé des comptes avant le 6 janvier 2018 :

    • L'adresse courriel de chaque utilisateur;
    • prénoms et noms de certains utilisateurs;
    • quelques suggestions liées au mot de passe de certains utilisateurs, de notre ancien produit MaskMe.
    • la dernière et l'avant-dernière adresse IP de chaque utilisateur utilisée pour se connecter à Blur;
    • Le mot de passe chiffré de chaque utilisateur du gestionnaire Blur. Ces mots de passe sont hashés et chiffrés à l'aide de bcrypt avant d'être transmis à nos serveurs. La sortie du processus de chiffrement pour ces utilisateurs était potentiellement exposée, mais pas les mots de passe réels des utilisateurs.
    • Le mot de passe chiffré de chaque utilisateur du gestionnaire Blur. Ces mots de passe sont hashés et chiffrés à l'aide de bcrypt avant d'être transmis à nos serveurs. La sortie du processus de chiffrement pour ces utilisateurs était potentiellement exposée, mais pas les mots de passe réels des utilisateurs.


    Il est important de noter qu'il n'y a aucune preuve que les données les plus critiques de nos utilisateurs ont été divulguées et nous croyons qu'elles sont sécurisées. Rien n’indique que les noms d'utilisateur et les mots de passe stockés par nos utilisateurs dans Blur, les détails des cartes de crédit, les courriels masqués, les numéros de téléphone masqués et les numéros de cartes de crédit masqués ont été exposés. Rien n'indique que l'information sur les paiements des utilisateurs a été exposée.
    Nom : blur.png
Affichages : 6079
Taille : 59,5 Ko

    Le cas Blur n’est pas isolé. À mi parcours de l’année 2015, l’entreprise de gestion des mots de passe en ligne (Lastpass) a annoncé la compromission de son réseau. Elle écrivait alors : « Nous souhaitons informer notre communauté que notre équipe a détecté et immédiatement bloqué une activité douteuse sur notre réseau. D’après nos investigations, nous n’avons aucune preuve que les données cryptées de nos utilisateurs ont été compromises, tout comme l’accès aux comptes des utilisateurs. Les investigations ont cependant démontré que les adresses e-mail des comptes LastPass, les indices de mots de passe, le salage et le hachage d’authentification ont été compromis. » Le communiqué de Lastpass parlait d’activité douteuse ce qui laisse penser à une attaque externe. À contrario, la note d’information d’Abine inc. relève quasiment de l’aveu de l’erreur de ses administrateurs. Là encore, Abine inc. n’est pas seule sur un îlot. Sur cette plateforme, les nouvelles de fuite de données occasionnées par des erreurs de configuration sont légion comme on peut le voir avec les cas SVR Tracking ou encore GoDaddy. D’ailleurs, même les USA ont connu l'une des plus grosses fuite des données à cause d’un service de stockage AWS non sécurisé.

    De telles situations posent le problème de l’utilisation de systèmes propriétaires ou de service cloud pour la gestion des mots de passe. Ces choix surprennent quand on sait que l’offre en alternatives open source et auto-hébergeable est assez fournie de nos jours.

    Source : Abine

    Et vous ?

    Qu’en pensez-vous ?

    Gestionnaire de mots de passe dans le cloud ou en auto-hébergement ... De quel bord êtes-vous ?

    Voir aussi :

    Le gestionnaire de mots de passe LastPass piraté, l'entreprise suggère plusieurs mesures dont le changement du mot de passe maitre

    Des données chiffrées du service de gestion de mots de passe OneLogin ont été exposées pendant une intrusion malveillante
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre confirmé Avatar de heid
    Profil pro
    Inscrit en
    Mai 2002
    Messages
    388
    Détails du profil
    Informations personnelles :
    Localisation : France, Indre et Loire (Centre)

    Informations forums :
    Inscription : Mai 2002
    Messages : 388
    Points : 597
    Points
    597
    Par défaut
    J'ai passé les deux dernier jours à analyser le résultat de l'outil "scout2" qui scane un compte AWS pour détecter de telles erreur de configuration, très bon outil.

  3. #3
    Membre confirmé
    Homme Profil pro
    Technicien réseau
    Inscrit en
    Septembre 2013
    Messages
    133
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Technicien réseau
    Secteur : Service public

    Informations forums :
    Inscription : Septembre 2013
    Messages : 133
    Points : 458
    Points
    458
    Par défaut
    D'où le fait qu'il faut utiliser un gestionnaire de mot de passe qui travaille en local comme KeePass 2, on évite les déconvenues et cerise sur le gâteau c'est libre et gratuit. Si on s’inquiète pour la perte de la base de donnée ont peu simplement en faire une sauvegarde sur un support externe hors réseau.

  4. #4
    Inactif  

    Profil pro
    Inscrit en
    Janvier 2011
    Messages
    3 064
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 064
    Points : 4 604
    Points
    4 604
    Par défaut
    Le meilleur gestionnaire de mot de passe c'est soi même .

    Retenir un seul mot de passe , celui de sa messagerie . Faire systématique "mot de passe oublié" pour chaque web service

    Cela reviendrait a changer de barrilé et sa clef à chaque entrée dans son domicile . Contre le vols de clef ... c'est radical.

  5. #5
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    Mai 2004
    Messages
    10 148
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : Mai 2004
    Messages : 10 148
    Points : 28 113
    Points
    28 113
    Par défaut
    Citation Envoyé par Itachiaurion Voir le message
    D'où le fait qu'il faut utiliser un gestionnaire de mot de passe qui travaille en local comme KeePass 2, on évite les déconvenues et cerise sur le gâteau c'est libre et gratuit. Si on s’inquiète pour la perte de la base de donnée ont peu simplement en faire une sauvegarde sur un support externe hors réseau.
    Le soucis de cette solution étant que beaucoup de gens se connectent depuis plusieurs endroits : PC du bureau, téléphone, tablette... La solution du logiciel "local" est inapplicable dans ce cas.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  6. #6
    Membre actif
    Avatar de Aiigl59
    Homme Profil pro
    Freelance
    Inscrit en
    Janvier 2008
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Jura (Franche Comté)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Janvier 2008
    Messages : 88
    Points : 257
    Points
    257
    Billets dans le blog
    1
    Par défaut Keepass
    Bonjour,

    Keepass est un bon logiciel de gestion de mot de passe, libre et gratuit, un mot de passe maître verrouille la base de donnée des mots de passes enregistrés, il s'installe même en version portable sur une simple clef usb, en plus il existe en version Linux, mac et windows (la même base de données est accessible par les trois binaires sans problèmes), que demander de plus ? même en cas de perte de la clef usb, si le mot de passe maître est bien choisi, il y a très peu de chance que quelqu'un puisse déverrouiller la base de donnée qui est chiffré avec de bons algos au choix dans un onglet de config. (ex: AES/rijndael 256 bit) Et coté contrôle de tes données, on ne peut mieux, c'est toi le seul responsable et possesseur du coffre.

    PS: J'ai un serveur NAS à la maison qui me sert à sauvegarder la Bdd et à synchroniser avec la clef usb, pas de risque de perte de cette base (redondance), si je change de clef, j'efface simplement la base qui est dessus ou je reformate complètement la clef si je ne m'en sert plus. idem pour le NAS.
    Pour ce qui est du smartphone (androïd ou autres) la meilleure solution est de ne pas se connecter à des sites sécurisés avec ce genre d'appareil si je n'ai pas le mot de passe en tête.

    Salutations
    Lionel

Discussions similaires

  1. Réponses: 13
    Dernier message: 21/07/2018, 10h56
  2. [JAVA] Gestionnaire de mot de passe
    Par Guimoy dans le forum Mon programme
    Réponses: 3
    Dernier message: 09/02/2016, 12h40
  3. Gestionnaire de mots de passe
    Par vallgui dans le forum Autres Solutions d'entreprise
    Réponses: 0
    Dernier message: 06/05/2015, 15h41
  4. gestionnaire de mots de passes
    Par ludolan dans le forum Débuter
    Réponses: 6
    Dernier message: 19/10/2010, 14h57
  5. Gestionnaire de mot de passe gratuit et performant
    Par Dsphinx dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 2
    Dernier message: 25/09/2009, 12h53

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo