La brève histoire de la violation de données GoTo/LastPass

GoTo a récemment annoncé que, selon leur enquête, “un acteur de la menace a exfiltré des sauvegardes cryptées d’un service de stockage en nuage tiers lié aux produits suivants : Central, Pro, join.me, Hamachi et RemotelyAnywhere”. Paddy Srinivasan, PDG de GoTo, a souligné les efforts déployés par l’entreprise pour informer ses clients et assurer leur sécurité à la suite de cet incident.

Un acteur de la cybermenace a également extrait une clé de chiffrement pour un segment des données de sauvegarde chiffrées. Parmi les informations affectées pourraient figurer “les noms d’utilisateur des comptes, les mots de passe salés et hachés, une partie des paramètres d’authentification multifactorielle (MFA), ainsi que certains paramètres de produits et des informations de licence”. À la suite de cette faille de sécurité de GoTo, ses produits ont fait l’objet d’un examen approfondi afin de garantir leur sécurité et leur fonctionnalité pendant cette période.

Les systèmes de production de GoTo n’ont pas été affectés au-delà de ce qui a été annoncé précédemment.

La société LastPass, propriété de GoTo, a également annoncé récemment qu’un incident survenu en août 2022 était plus grave que ce que l’on pensait. Les données concernées comprenaient des bases de données cryptées de GoToMyPC. Après avoir déclaré dans un premier temps qu’aucune donnée client n’avait été affectée, LastPass a admis en décembre que des données client avaient été compromises. La partie non autorisée avait accédé à un service de stockage en nuage tiers où LastPass stockait des données, y compris des noms d’utilisateur de compte, des mots de passe salés et hachés. Les données des clients concernés peuvent contenir des noms d’utilisateur et d’autres informations sensibles.

L’incident a également eu un impact sur les paramètres d’authentification multi-facteurs (MFA) d’un petit groupe de clients, en particulier en ce qui concerne les bases de données cryptées de Rescue et GoToMyPC. À la suite de cet incident, GoTo a pris des mesures importantes pour protéger les mots de passe des comptes et renforcer ses mesures de sécurité globales. Une partie de ces mesures a consisté à contacter directement les clients concernés pour les rassurer sur les sauvegardes cryptées et l’authentification plus robuste.

À la suite de plusieurs failles de sécurité, LastPass s’est officiellement séparée de GoTo en mai 2024 pour se concentrer davantage sur la cybersécurité. Cela lui a permis de protéger les données de ses clients grâce à sa plateforme de gestion d’identité améliorée, garantissant ainsi que les mots de passe ne seront plus jamais violés.

Que vous apprend la faille de sécurité de GoTo sur la sécurité des données ?

Il y a une chose essentielle à retenir de tout ce qui précède : lorsque la sécurité n’est pas la priorité, ce sont les utilisateurs concernés qui finissent par en souffrir. La confiance numérique et la sécurité des données sont essentielles pour nous, ici à RealVNC. Nous pensons que tout fournisseur d’accès à distance, en particulier un fournisseur de logiciels, devrait les prendre très au sérieux. En réalité, de nombreuses entreprises ne joignent pas le geste à la parole en matière de sécurité supplémentaire. La confiance numérique et la sécurité des données sont essentielles pour nous, chez RealVNC.

Nous construisons notre produit en plaçant la sécurité au premier plan, en adhérant à nos quatre principes de sécurité :

1. Vous n’avez pas besoin de faire confiance à RealVNC en tant que société pour faire confiance à nos logiciels et services.
2. Nous n’enregistrons pas vos sessions et les données ne peuvent pas être décryptées maintenant ou à l’avenir.
3. Chaque connexion est traitée comme si elle était effectuée dans un environnement hostile.
4. C’est le propriétaire de l’ordinateur distant qui décide en dernier ressort qui peut se connecter

Chaque connexion est cryptée de bout en bout à un niveau allant jusqu’à 256 bits AES. Nous disposons également d’un système d’authentification à deux facteurs (2FA) et nous vous recommandons vivement de l’utiliser.

RealVNC Connect peut prouver qu’il est sécurisé

Nous ne nous contentons pas d’affirmer que nous sommes sûrs. Notre solution d’accès à distance est la seule à avoir été auditée par un expert indépendant en sécurité et à avoir reçu le feu vert. En effet, nous avons ouvert nos portes à un audit de sécurité complet par Cure53. Il s’agit d’un examen de sécurité beaucoup plus approfondi que le traditionnel test de pénétration annuel, les auditeurs bénéficiant d’un accès complet à notre code source, à la documentation interne de l’API et d’une ligne de communication directe avec les développeurs. Nous sommes très fiers des résultats, aucun problème critique n’ayant été détecté, ce qui ne fait que réaffirmer la solidité de notre position en matière de sécurité. Nous continuerons à travailler dur pour maintenir les mêmes normes de sécurité élevées.

Nous sommes également heureux d’annoncer que la version Android de RealVNC Server for Mobile est la première application d’accès à distance à passer avec succès le processus MASA. Nous avons entrepris le processus pour notre application RealVNC Mobile Server en novembre 2022, en collaboration avec NCC Group, un laboratoire MASA autorisé et un acteur clé de l’industrie de la sécurité. Notre application a été évaluée avec brio et a obtenu un résultat exceptionnel : PASS dans chaque domaine dès le premier essai.

RealVNC continuera à défier l’ensemble de l’industrie de suivre la même voie en fournissant une sécurité supplémentaire pour ses produits. Nous l’avons fait lors de récents événements sur la cybersécurité et nous continuerons à le faire à l’avenir.

“Chez RealVNC, nous partons du principe qu’aucune entreprise ne devrait jamais croire un vendeur sur parole lorsqu’il affirme que son logiciel est sécurisé. C’est pourquoi nous avons choisi de réaliser un audit en boîte blanche avec une société de conseil en sécurité très réputée pour le prouver.”

– Andrew Woodhouse, RealVNC Chief Information Officer

Que faire ensuite ?

Vérifiez si votre fournisseur de logiciels (et surtout d’accès à distance) peut vous apporter la preuve de sa sécurité. Et ne vous contentez pas de le croire sur parole ! Demandez une preuve sous la forme d’un audit de sécurité indépendant récent. Si ce n’est pas le cas, il existe d’autres solutions qui répondent à vos exigences en matière de sécurité.

RealVNC Connect garantit un accès à distance sécurisé et fiable pour tous. Il intègre à la fois le visualiseur et le serveur RealVNC dans une application de bureau unifiée. Son interface conviviale et ses fonctionnalités telles que le transfert de fichiers, la barre d’outils redessinée, le chat, la prise en charge de plusieurs moniteurs et l’enregistrement de sessions en font un outil précieux pour tous les utilisateurs au sein de votre organisation.

Notre dernière version comprend également des fonctionnalités avancées que votre service d’assistance et vos équipes informatiques ne manqueront pas d’apprécier. RealVNC Connect Version 8 propose des codes de session auto-expirants qui expirent et sont remplacés dans les deux minutes, ce qui garantit qu’aucun code persistant ne peut être utilisé pour un accès non autorisé. En outre, cet outil vous permet de savoir qui se connecte, d’avoir un accès sur invitation uniquement et de partager votre appareil avec Code Connect. Prêt à vivre la nouvelle ère de l’accès à distance ? Essayez la dernière version de RealVNC Connect dès aujourd’hui !