1Password n’a pas été violé ou compromis; les alertes inquiétantes de changement de mot de passe provenaient d'une mauvaise gestion des erreurs
Dans la nuit du 27 avril, tous les utilisateurs actifs de 1Password aux États-Unis ont reçu la notification suivante: « votre clé secrète ou votre mot de passe a été récemment modifié. Entrez les détails de votre nouveau compte pour continuer ». Comme ils n’avaient pas changé leurs mots de passe, l’alerte était préoccupante.
Mais le gestionnaire de mots de passe populaire n’a pas été piraté ni attaqué. La notification a été envoyée par erreur lors d'une panne après une maintenance de routine, et 1Password's journaux de maintenance publics a expliqué la situation juste après l'incident.
1Password a ensuite publié un déclaration officielle pour expliquer ce qui s'est passé et s'excuser. Vers 21 h HE la nuit en question, 1Password terminait la maintenance programmée des bases de données lorsque ses serveurs ont reçu un nombre inhabituel de demandes de synchronisation provenant d'appareils clients. Les systèmes ont rejeté les connexions et ont renvoyé une erreur que les applications clientes ont mal interprétée comme une alerte de changement de mot de passe.
Les mots de passe et les données n’ont pas été modifiés ou affectés. Pour plus de sécurité, 1Password sécurise les sauvegardes avec cryptage. Consultez notre guide du gestionnaire de mots de passe pourquoi c’est important.
La panne a été brève et le service est à nouveau pleinement opérationnel. "Le 28 avril, il n'y avait plus de messages erronés et nous avons pu confirmer que les correctifs fonctionnaient comme prévu", explique le communiqué.
Le directeur technique de 1Password, Pedro Canahuati, a également indiqué qu'une enquête sur la perturbation était en cours afin d'en analyser la cause. Les résultats aideront à peaufiner le processus de maintenance et de gestion des erreurs, afin que l’incident ne se reproduise pas.
Cependant, une recherche rapide sur les forums d'assistance 1Password révèle un fil de discussion décrivant le même message d'erreur. Un membre de la communauté a déposé une plainte après avoir rencontré l’erreur sur son appareil Mac en décembre 2022, à laquelle l’équipe 1Password a répondu publiquement.
Bien qu’il ne s’agisse pas d’un incident de sécurité, l’alerte 1Password est survenue quelques mois seulement après la Violation de LastPass. LastPass, un autre gestionnaire de mots de passe populaire, a été secoué par un grave piratage l'année dernière. Des parties malveillantes ont volé l’historique des URL, les noms, les adresses de facturation, les e-mails, les numéros de téléphone, les adresses IP et les informations de connexion cryptées des utilisateurs. Une partie du code source de LastPass a également été divulguée. Nous avons une liste de alternatives à LastPass pour les lecteurs soucieux de la sécurité.
1Password n’a jamais subi d’incident de sécurité. Mais le piratage de LastPass donne un contexte aux spéculations inquiétantes qui ont suivi l’événement du 27 avril.
Le communiqué officiel a mis fin à cette spéculation. « Nous prenons très au sérieux l'intégrité de vos données et la stabilité de nos systèmes et continuerons à le faire. travaillez dur chaque jour pour gagner la confiance que vous nous accordez », a en outre rassuré le CTO à 1Password. clients.