Retour au blog

Keeper a-t-il déjà été hacked ?

publié le août 03, 2022

Partagez ce blog

Écrit par Craig Lurey

Non. Keeper® n’a jamais été hacked ou violé. Dans cet article, nous examinerons pourquoi des millions de clients et des milliers d’entreprises à travers le monde comptent sur Keeper pour protéger leurs mots de passe et d’autres informations privées.

Qu’est-ce que Keeper Security ?

Keeper Security révolutionne la manière dont les organisations et les particuliers protègent leurs mots de passe et leurs ressources numériques sensibles en réduisant de manière significative les violations de données liées aux mots de passe et les cyber-menaces.

Keeper est le principal fournisseur de logiciels de sécurité et de chiffrement Zero-Knowledge, couvrant la gestion des mots de passe, des clés d’accès, des secrets, des connexions et des accès à privilèges, ainsi que la surveillance du Dark Web, le stockage de fichiers numériques, la messagerie chiffrée, etc. Nous protégeons à la fois les clients et les entreprises de toutes tailles dans tous les principaux secteurs d’activité. Keeper détient la plus ancienne certification SOC 2 et ISO27001 de l’industrie, et nous sommes autorisés par FedRAMP et FIPS 140-2.

Keeper a été nommé meilleur gestionnaire de mot de passe du magazine PC et un choix des éditeurs, meilleur gestionnaire de mot de passe global par U.S. News &amp ;;ld Rapport, G2 Enterprise Leader, société du moment dans l’IAM, la plus innovante en matière de sécurité des terminaux et de pointe dans la société de sécurité de l’année. Keeper a reçu plus de 275 000 avis à 5 étoiles dans les boutiques d’applications.

Keeper pour les clients et les familles

Keeper Password Manager pour les particuliers et les familles stocke tous vos mots de passe, codes MFA et toute une série d’autres données sensibles dans un coffre-fort Web numérique sécurisé, avec la possibilité de remplir automatiquement vos identifiants de connexion sur tous vos sites Web et applications. Nos solutions grand public utilisent le même chiffrement Zero-Knowledge propriétaire que nos produits commerciaux, mettant une sécurité de niveau entreprise entre les mains des clients. Seul l’utilisateur peut accéder à ses mots de passe et ses fichiers stockés et les déchiffrer. Personne d’autre ne peut accéder aux mots de passe maîtres de nos utilisateurs, aux clés de chiffrement ou aux éléments du coffre-fort, pas même les employés de Keeper.

Keeper pour les organisations

La plateforme de gestion des mots de passe d’entreprise et de sécurité de Keeper :

Fournit à chaque employé un coffre numérique sécurisé et chiffré dans lequel il peut stocker ses mots de passe, ses fichiers et d’autres données sensibles. Les employés peuvent accéder à leur coffre à partir de pratiquement n’importe quel appareil et de tous les principaux navigateurs Web, générer automatiquement des mots de passe uniques et complexes pour tous leurs comptes et remplir automatiquement leurs identifiants de session sur tous leurs sites et applications.
Donne aux administrateurs informatiques une visibilité complète sur les pratiques des employés en matière de mot de passe, ce qui leur permet de surveiller l’utilisation du mot de passe et d’appliquer les politiques de sécurité du mot de passe dans l’ensemble de l’organisation, y compris les exigences de complexité du mot de passe, l’authentification à deux facteurs (2FA), le contrôle d’accès basé sur les rôles (RBAC) et d’autres politiques de sécurité.

Keeper est-il sûr à utiliser ?

L’utilisation de Keeper est totalement sûre. Les employés de Keeper utilisent notre gestionnaire de mot de passe en interne pour protéger les mots de passe et les données de l’entreprise et pour partager les fichiers en toute sécurité.

Keeper est un fournisseur de sécurité Zero-Trust et Zero-Knowledge. Tout le chiffrement et le déchiffrement se produisent uniquement sur l’appareil de l’utilisateur lors de la connexion dans le coffre-fort, ce qui signifie que l’utilisateur Keeper est la seule personne qui peut chiffrer et déchiffrer ses données.

Keeper’s secure, reliable cloud vault is protected by APIs, which are validated through authorization by the client device. The client retrieves a session token upon login and sends it with each API call. The session token is tracked on the server. Login is performed either by a private Master Password or SAML 2.0 Single Sign-On (SSO) authentication.

Lors de l’utilisation d’un mot de passe maître pour se connecter, l’appareil client obtient une clé d’authentification de 256 bits à l’aide de PBKDF2-HMAC-SHA256 et d’un sel aléatoire. Un hachage d’authentification est généré en hachant la clé d’authentification à l’aide de SHA-256. Pour s’identifier, le hachage d’authentification est comparé à un hachage d’authentification stocké sur le Cloud Security Vault. Après l’ouverture de session, un jeton de session est généré sur le serveur et envoyé au client pour être utilisé par l’appareil client pour les demandes d’API ultérieures. La session doit être active pour que la communication entre le client et le serveur puisse se poursuivre.

Keeper utilise des modules de chiffrement validés FIPS 140-2 pour répondre aux exigences de sécurité rigoureuses du gouvernement et du secteur public. Le chiffrement de Keeper a été certifié par le NIST CMVP et validé selon la norme FIPS 140 par des laboratoires tiers accrédités.

Des détails supplémentaires sur le modèle d’authentification et de chiffrement de Keeper sont disponibles dans notre base de données en ligne.

Keeper prend en charge les méthodes 2FA les plus populaires et sécurisées disponibles : SMS, les applications d’authentification basées sur TOTP telles que Google ou Microsoft Authenticator, RSA SecurID, DUO Security, Keeper DNA (authentification des appareils portables avec des appareils Apple Watch et Android Wear) et des appareils FIDO2 WebAuthn comme Yubikey. Les organisations peuvent appliquer la 2FA en utilisant les politiques d’application basées sur les rôles de Keeper.

Keeper a-t-il déjà été hacked ?

Non, Keeper n’a jamais été hacked. En 2017, un chercheur en sécurité a trouvé un bug dans l’extension Keeper Browser Extension, qui est une application distincte de l’application Keeper Desktop. Nous avons corrigé le bug dans les 24 heures suivant sa validation, déprécié les versions précédentes de l’extension de navigateur Keeper et signalé l’incident sur notre blog. Nous avons ensuite publié un deuxième blog expliquant la situation à nos clients en leur assurant qu’il n’y avait pas de violation de la sécurité ou de perte d’informations client en lien avec ce bug.

Beaucoup de choses ont changé depuis 2017 ! Keeper s’est également associé à Bugcrowd pour gérer notre programme de primes aux bugs et de divulgation des vulnérabilités (VDP). Le PDV de Keeper Security peut être consulté à l’adresse suivante https://bugcrowd.com/keepersecurity.

Further, Keeper began working with world-renowned leader NCC Group and CyberTest to perform quarterly pen testing. The results of our quarterly pen tests are available to our business customers upon execution of a mutual Non-Disclosure Agreement (NDA). If your organization would like a copy, please contact our sales team.

Keeper adhère également à des pratiques de sécurité internes très strictes qui sont régulièrement auditées par des tiers pour nous assurer que nous poursuivons le développement de logiciels sécurisés et fournissons la plateforme de cybersécurité la plus sécurisée au monde, y compris les suivantes :

Keeper uses GitHub vulnerability scanning to monitor for vulnerabilities in dependencies and CodeQL for automated source code analysis.
Keeper exécute SAST/DAST en utilisant les outils CodeQL intégrés de Github Enterprise, ainsi que des tests périodiques avec Synopsys / Black Duck. Les ingénieurs de Keeper examinent les résultats de l’analyse statique pour déterminer s’ils sont valables.
Keeper adopte et intègre les meilleures pratiques et recommandations fournies dans le Guide du développeur OWASP et la série de feuilles de triche OWASP pour mettre en œuvre et améliorer notre ingénierie logicielle sécurisée. Keeper utilise le guide de test OWASP et/ou le guide de révision de code OWASP pour trouver et atténuer les vulnérabilités dans notre service/application.
Keeper effectue tout le développement de logiciels en interne, sur des stations de travail de développement locales. Nous ne donnons pas à des tiers un accès technique à nos systèmes.
Chaque projet se compose généralement d’un référentiel GitHub, d’un projet Jira, d’un tableau Kanban et d’un pipeline de génération de GitHub Actions. Au fur et à mesure que le logiciel est développé, le dépôt de GitHub est mis à jour avec des comissions régulières. Les constructions automatisées d’actions GitHub sont soit sur la validation, soit sur des intervalles de compilation régulière dédiée. Les tickets Jira et les tableaux Kanban sont utilisés pour organiser le développement de projets.
Avant l’acceptation de l’assurance qualité, tout le code source est soumis à un examen par les pairs de la part du chef d’équipe, ce qui comprend des vérifications de sécurité, des accès non autorisés, des attaques par injection de données, etc.
Le renforcement et la personnalisation du système d’exploitation de serveur, des serveurs Web, des serveurs d’applications et des serveurs DB sont normalisés à l’aide de modèles de paramétrage et d’appels d’API scriptés vers Amazon AWS.
Keeper effectue une analyse mensuelle et quotidienne des failles de l’infrastructure système de Keeper.
Keeper effectue régulièrement des tests d’intrusion internes et externes. Les tests d’intrusion sont effectués sur une base mensuelle en utilisant une combinaison de services tiers et d’outils et de systèmes internes.
Les failles critiques sont corrigées dans les 48 heures et les failles non critiques (moyennes) sont corrigées dans les 10 jours ouvrables.

Keeper Certifications et conformité

Keeper est la plateforme de sécurité des mots de passe la plus sûre, certifiée, testée et auditée au monde. Keeper détient les plus anciennes certifications SOC 2 et ISO 27001 du secteur. Keeper est autorisé par FedRAMP et StateRAMP et est certifié par TrustArc pour la protection de la vie privée en ligne conformément au Data Privacy Framework (DPA). Les clients professionnels peuvent obtenir des copies de nos rapports SOC 2 et ISO 27001 en communiquant avec notre équipe de vente.

Keeper respecte le RGPD, la CCPA, la PCI DSS et la HIPAA, et nous sommes sous licence EAR, du département du Commerce des États-Unis. Nous respectons toutes les exigences réglementaires locales en matière de sécurité des données et sommes certifiés par TrustArc pour la vie privée en ligne.

Le RGPD identifie deux entités qui peuvent traiter des données personnelles. Un responsable du traitement décide des données à collecter et du traitement des données à caractère personnel. Un sous-traitant de données agit sur ordre d’un responsable du traitement pour collecter, stocker, récupérer et/ou supprimer des données personnelles. Keeper Security est un responsable du traitement des données lorsque nous vendons notre gestionnaire de mot de passe directement à nos clients. Nous sommes un sous-traitant de données lorsque nous vendons à des entreprises, qui à leur tour seront considérés les contrôleurs de donnés.

Pour plus d’informations sur le respect du RGPD de Keeper ou pour télécharger les accords de traitement des données de téléchargement RGPD, veuillez visiter https://www.keepersecurity.com/GDPR.html

En tant que fournisseur de services cloud autorisé par FedRAMP (impact modéré), Keeper est bien placé pour aider les organisations à respecter la réglementation sur le trafic international des armes (ITAR), qui réglemente les importations et les exportations américaines d’articles et de services liés à l’espace et à la défense.

Pour plus d’informations sur nos certifications de conformités, veuillez visiter https://www.keepersecurity.com/security.html ? s=comformité

Keeper est autorisé par FedRAMP

Keeper Security Government Cloud (KSGC) est autorisé par FedRAMP au niveau d’impact modéré. Parlons de ce que cela signifie.

Le programme fédéral de gestion des risques et des autorisations (FedRAMP) a été créé par le gouvernement américain pour parvenir à une approche normalisée de la sécurité, de l’autorisation et de la surveillance permanente des produits et services cloud. Les agences fédérales sont tenues d’utiliser des services cloud certifiés FedRAMP.

Pour être répertoriés sur le marché FedRAMP, les fournisseurs de services cloud (CSP) tels que Keeper doivent se soumettre à un processus d’autorisation rigoureux d’un mois qui comprend un audit très détaillé de tous les systèmes. Même après avoir obtenu l’autorisation FedRAMP, le travail du CSP n’est pas terminé ! Le CSP doit maintenir en permanence ses systèmes pour répondre aux exigences de FedRAMP. Le programme FedRAMP vérifie cela en exigeant que le CSP fournisse mensuellement des produits livrables de surveillance permanente aux agences utilisant leur service, y compris un rapport mis à jour sur le plan d’action et les étapes (POA &amp ;;et un rapport d’analyse des résultats/rapports.). En outre, le CSP doit également effectuer un examen annuel de sécurité.

Bien que FedRAMP ait été conçu pour les agences gouvernementales fédérales, le choix d’une solution de gestion des mots de passe autorisée par FedRAMP et StateRAMP, telle que Keeper Security Government Cloud, est également bénéfique pour les agences gouvernementales nationales et locales, ainsi que pour les organisations du secteur privé dans des industries très réglementées.

Craig Lurey

Craig Lurey est le directeur technique et le cofondateur de Keeper Security. Craig dirige l’équipe d’infrastructure logicielle et technologique de Keeper. Craig et Darren sont des partenaires commerciaux actifs dans une série d’entreprises réussies depuis plus de 20 ans. Avant de créer Keeper, Craig a travaillé chez Motorola en tant qu’ingénieur logiciel, créant des micrologiciels pour l’infrastructure de stations de base cellulaires. Il a également fondé Apollo Solutions, une plateforme logicielle en ligne pour le secteur des revendeurs d’ordinateurs, qui a été rachetée par CNET Networks. Craig est titulaire d’une licence en génie électrique de l’université d’État de l’Iowa.

Recevez les dernières actualités et mises à jour en matière de cybersécurité, directement dans votre boîte de réception

Partagez ce blog

Vous pourriez aussi aimer

Comment Keeper protège contre le remplissage des identifiants dans des applications malveillantes

L'engagement de Keeper Security à protéger les données des utilisateurs est omniprésent dans tout ce que nous faisons. Keeper® détient les plus anciennes certifications SOC 2 et ISO 27001 du secteur. Keeper est conforme au RGPD, à la...