Evernote a envoyé ce week-end des emails à l’ensemble de ses utilisateurs pour les avertir d’une brèche de sécurité dans ses serveurs. Bien qu’aucune information sensible n’ait a priori été volée, la société demande à ce que chaque mot de passe soit réinitialisé.
Une attaque sur l'infrastructure d'Evernote
Evernote est célèbre pour son service de notes synchronisées et stockées à distance. Le service dispose de nombreuses applications pour un grand nombre de plateformes. Pour lier l’ensemble, l'utilisateur doit évidemment disposer d’un compte, dans lequel il fournit son nom d’utilisateur, une adresse email ainsi qu’un mot de passe. Il y a quelques jours, l’entreprise a été victime d’une intrusion sur ses serveurs, la forçant à avertir ses 50 millions d’utilisateurs.
Dans un communiqué, Evernote explique donc qu’une activité suspecte a été détectée dans son réseau. Par la suite, la société a découvert qu’il s’agissait d’une attaque cordonnée visant à pénétrer les défenses qui protègent les données personnelles des utilisateurs. Ces dernières n’ont pas été touchées finalement, mais les comptes eux-mêmes ont été affectés. Les données telles que les noms d’utilisateurs, les adresses email et les mots de passe ont fuité, tout du moins en partie.
Les mots de passe étaient chiffrés
Cependant, les mots de passe n’étaient pas inscrits en clair dans la base de données. Ils étaient chiffrés via la méthode du haché/salé. Cela signifie qu’Evernote stockait une empreinte des mots de passe agrémentée d’une autre séquence pseudo-aléatoire pour rendre la lecture plus complexe. De fait, le temps nécessaire pour déchiffrer ces données est beaucoup plus long. Ce qui ne veut pas dire que cette protection est absolue.
Conséquence, des emails ont été envoyés aux utilisateurs pour les inviter à se connecter au service pour changer leur mot de passe. Dès la connexion, la procédure de changement prend place automatiquement. En outre, des mises à jour sont distribuées sur les différentes plateformes pour rendre l’opération plus évidente aux utilisateurs. L’occasion pour Evernote de rappeler quelques règles de base, notamment de ne pas réutiliser des mots de passe déjà employés pour d’autres services, et de ne surtout pas piocher des mots dans le dictionnaire.
Attention sur la trop grande simplicité des mots de passe
Evernote pêche toutefois en n’abordant pas la question des adresses email. Si au final les utilisateurs devraient être tranquilles en réagissant rapidement aux courriers envoyés, les attaquants ont potentiellement récupéré de nombreuses adresses. Il est donc possible qu’une telle base soit utilisée pour du spam.
Evernote indique que ce type d’attaque devient toujours plus commun. Un constat que nous ne pouvons qu’appuyer : plus les plateformes synchronisées se multiplient, plus ils deviennent attirants pour les pirates et plus la pression augmente sur le choix du mot de passe. Leur trop grande simplicité devient un véritable problème qui va croitre avec l’utilisation toujours plus intensive des comptes charnières, notamment chez Microsoft, Apple et Google.
Commentaires (14)
#1
Je n’ai reçu aucun e-mail de leur part
" /> C’est seulement une partie des abonnés qui le recevront ?
#2
Reçu effectivement. J’aurais préféré qu’on prenne mes notes que mon mdp.
" />
#3
Ils étaient chiffrés via la méthode du haché/salé
Sans parler que c’est très bizarrement dit, c’est pour le moins imprécis, le hachage n’est pas du chiffrement. Le propre du chiffrement est de pouvoir revenir au message en clair à partir du message chiffré et d’une clé.
Pour revenir sur le sujet de l’article, les services deviennent tellement gros et donc attractif pour les attaquants que la question n’est plus si ils se feront attaquer, mais quelle est la sécurité offerte quand ils se feront attaquer.
Peut être que Mozilla BrowserID (ou équivalent) résoudra ce problème des mots de passes. Mais encore une fois ça fait reposer toute la sécurité sur un seul point … il y a comme toujours dans ce cas des avantages et inconvénients : ca réduit la surface d’attaque mais ça fragilise quand même le système global. A méditer.
#4
Me suis inscrit Vendredi… Vraiment pas de bol…
" />
#5
Leur trop grande simplicité devient un véritable problème qui va croitre avec l’utilisation toujours plus intensive des comptes charnières, notamment chez Microsoft, Apple et Google.
Ce qui me fait doucement rigoler (jaune) du reste puisque les caractères spéciaux ne sont pas autorisés. Génial leur avertissement. Ne sont autorisés que chiffres, lettres, et ponctuation.
#6
Ils étaient chiffrés via la méthode du haché/salé
Ça a l’air délicieux comme recette!
#7
#8
L’occasion pour Evernote de rappeler quelques règles de base, notamment de ne pas réutiliser des mots de passe déjà employés pour d’autres services, et de ne surtout pas piocher des mots dans le dictionnaire.
Règle de sécurité n°1, ne pas utiliser un service centralisé, type Evernote, pour gérer ses informations confidentielles.
Sympa de faire la morale à ses utilisateurs alors que c’est leur sécurité qui est en cause
#9
Ah ça explique mes app qui me faisait la gueule et le mot de passe expiré une fois connecté via l’interface web
" />
par contre je n’ai pas reçu d’e-mail en dehors d’un mail qui me permettait d’annuler le changement de mdp dans les 2h si je n’étais pas l’auteur.
#10
fait chier jdoit le changer
#11
des mots de passé
#12
#13
moi non plus je n’ai pas reçu d’email
je n’étais pas connecté ces derniers jours, ce qui l’explique peut-être
#14