Depuis le début de l'année 2024, de nombreuses grandes entreprises ont été victimes d'attaques de credential stuffing. Parmi ces victimes notables du credential stuffing, on compte
LastPass a révélé que des pirates ont volé des données dans les coffres de ses clients lors d’un incident survenu en août 2022. Au cours de la violation, l’acteur malveillant a pu copier une sauvegarde des données du coffre des clients.
Selon Ars Technica, les secrets du coffre de LastPass (logins et mots de passe) sont chiffrés, mais les URL du site Web et d’autres métadonnées ne le sont pas. Par conséquent, certaines informations volées pourraient être utilisées pour mener des attaques ciblées contre les utilisateurs. Grâce aux informations obtenues à partir d’une fuite de code source et d’une violation de données de Twilio, les attaquants ont pu s’introduire dans l’infrastructure cloud qui stockait les données des clients.
Keeper, en revanche, adhère à ce qui suit :
1. Keeper chiffre toutes les données du coffre, y compris les URL et les métadonnées, localement sur l’appareil de l’utilisateur. Le cloud de Keeper ne reçoit, ne stocke et ne traite aucune information du coffre en clair.
2. Keeper ne stocke pas de secrets tels que les clés d’accès à l’infrastructure du cloud dans son code source. Nous analysons régulièrement le code source à la recherche d’informations secrètes.
3. Le code source de Keeper, bien qu’il soit conservé de manière privée dans Github Enterprise, ne fournit pas les informations nécessaires pour accéder au coffre d’un utilisateur. Le chiffrement des données s’effectue au niveau de l’appareil local. Une grande partie de ce code source est publié dans notre répertoire public Github et fait partie des produits Commander et Secrets Manager de Keeper.
4. Keeper n’utilise pas de fournisseurs tiers tels que Twilio pour la 2FA. Les fournisseurs de Keeper n’ont fait l’objet d’aucune violation de données.
5. Keeper ne fournit à aucun tiers la gestion ou l’accès à l’un de nos centres de données AWS. Toute la gestion de l’infrastructure est assurée par des employés à temps plein de Keeper Security, qui sont en outre des citoyens américains résidant aux États-Unis.
Keeper possède le plus grand nombre de certifications de sécurité du secteur. Keeper est certifié SOC2, homologué FedRamp, homologué StateRamp et certifié ISO27001.
Nous vous invitons à consulter les ressources suivantes si vous avez des questions sur Keeper et LastPass :
- Keeper vs. LastPass – Quelle est la différence ?
- Migrer vos identifiants de LastPass vers Keeper
- Présentation du cadre de sécurité Zero-Knowledge et Zero-Trust de Keeper
- Modèle de chiffrement Keeper
Merci de vous protéger avec Keeper.