Personne ne souhaite que la sécurité de ses données en ligne soit compromise. Malheureusement, les violations de données à grande échelle touchant de grandes entreprises de confiance ne sont pas rares. Ces violations peuvent compromettre la sécurité de vos adresses e-mail, mots de passe et toute autre information stockée dans un profil donné. Certains clients ont créé leur compte SuperSaaS il y a plusieurs années et utilisent toujours le même mot de passe sur SuperSaaS que sur un autre site web. Nous utilisons deux approches pour nous défendre contre les pirates qui tentent d’exploiter ces listes pour accéder aux comptes.
Nous bloquons les tentatives massives de saisie de mots de passe, mais cela n’est pas totalement protecteur
Nous avons mis en place un système pour détecter toute tentative de tester un grand nombre de mots de passe en une fois. Ces adresses IP sont bloquées automatiquement, et notre logiciel de surveillance nous alerte. Cependant, ce type de surveillance n’est pas entièrement efficace, car les pirates peuvent utiliser de nombreuses adresses IP et tester quelques mots de passe depuis chacune d’elles.
Nous vérifions votre mot de passe par rapport à une liste de mots de passe compromis connus
En seconde ligne de défense, nous utilisons les listes de comptes compromis disponibles en ligne auprès de sociétés de recherche en sécurité, et nous vérifions si l’un de nos clients y figure. Sur le site have i been pwned?, vous pouvez vérifier si votre compte apparaît sur la liste. Si nous trouvons un mot de passe correspondant, nous vérifions si l’adresse e-mail correspondante figure également sur cette liste, et nous réinitialisons le mot de passe si les deux y apparaissent.
Nous pouvons vérifier votre mot de passe sans connaître ce qu’il est
Il est important de noter que nous n’avons pas besoin d’envoyer votre mot de passe à qui que ce soit pour effectuer cette vérification — en fait, votre mot de passe ne quitte jamais nos serveurs. Nous utilisons plutôt une empreinte mathématique de votre mot de passe, appelée hash cryptographique, et nous vérifions si ce hash figure sur la liste. Les empreintes sont conservées en sécurité dans une liste séparée qui ne quitte pas nos bureaux, et bien qu’elles soient inoffensives par elles-mêmes, elles ne peuvent pas être reconstituées en un mot de passe. Ainsi, personne n’a besoin de manipuler directement les mots de passe réels, et nous ne saurons même pas quel mot de passe vous avez utilisé si nous trouvons une correspondance sur la liste. Tout ce que nous saurions, c’est qu’il figure sur une liste de mots de passe compromis et qu’il serait judicieux de le réinitialiser.
Nous réinitialisons les mots de passe trouvés sur la liste
Si le hash de votre mot de passe se trouve effectivement sur la liste des hashs de mots de passe, nous supprimons votre mot de passe par précaution. La prochaine fois que vous tenterez de vous connecter, vous serez redirigé vers l’écran « Mot de passe oublié » pour vous envoyer un lien de réinitialisation par e-mail.
Pour être clair, cela ne signifie pas que votre compte a été compromis. Cela signifie simplement que nous avons réinitialisé votre mot de passe par précaution pour éviter qu’il ne soit compromis à l’avenir. Nous estimons que le léger désagrément d’un mot de passe effacé est préférable aux importants problèmes liés à un compte piraté. Bien sûr, vous êtes invité à nous contacter si vous avez des questions concernant ce processus.
Ce processus de test sera répété à intervalles réguliers, par exemple si une nouvelle violation importante se produit et que de nouvelles listes apparaissent en ligne. Nous parlons rarement de notre sécurité, car tant que nous faisons notre travail, il y a peu à communiquer. C’est l’une des rares façons visibles dont nous essayons de fournir une expérience sécurisée lors de votre utilisation de SuperSaaS. Soyez assurés qu’en tant qu’équipe, nous travaillons chaque jour d’arrache-pied en coulisses sur la cybersécurité.
Publié initialement en février 2019.