Evernote a envoyé ce week-end des emails à l’ensemble de ses utilisateurs pour les avertir d’une brèche de sécurité dans ses serveurs. Bien qu’aucune information sensible n’ait a priori été volée, la société demande à ce que chaque mot de passe soit réinitialisé.
Une attaque sur l'infrastructure d'Evernote
Evernote est célèbre pour son service de notes synchronisées et stockées à distance. Le service dispose de nombreuses applications pour un grand nombre de plateformes. Pour lier l’ensemble, l'utilisateur doit évidemment disposer d’un compte, dans lequel il fournit son nom d’utilisateur, une adresse email ainsi qu’un mot de passe. Il y a quelques jours, l’entreprise a été victime d’une intrusion sur ses serveurs, la forçant à avertir ses 50 millions d’utilisateurs.
Dans un communiqué, Evernote explique donc qu’une activité suspecte a été détectée dans son réseau. Par la suite, la société a découvert qu’il s’agissait d’une attaque cordonnée visant à pénétrer les défenses qui protègent les données personnelles des utilisateurs. Ces dernières n’ont pas été touchées finalement, mais les comptes eux-mêmes ont été affectés. Les données telles que les noms d’utilisateurs, les adresses email et les mots de passe ont fuité, tout du moins en partie.
Les mots de passe étaient chiffrés
Cependant, les mots de passe n’étaient pas inscrits en clair dans la base de données. Ils étaient chiffrés via la méthode du haché/salé. Cela signifie qu’Evernote stockait une empreinte des mots de passe agrémentée d’une autre séquence pseudo-aléatoire pour rendre la lecture plus complexe. De fait, le temps nécessaire pour déchiffrer ces données est beaucoup plus long. Ce qui ne veut pas dire que cette protection est absolue.
Conséquence, des emails ont été envoyés aux utilisateurs pour les inviter à se connecter au service pour changer leur mot de passe. Dès la connexion, la procédure de changement prend place automatiquement. En outre, des mises à jour sont distribuées sur les différentes plateformes pour rendre l’opération plus évidente aux utilisateurs. L’occasion pour Evernote de rappeler quelques règles de base, notamment de ne pas réutiliser des mots de passe déjà employés pour d’autres services, et de ne surtout pas piocher des mots dans le dictionnaire.
Attention sur la trop grande simplicité des mots de passe
Evernote pêche toutefois en n’abordant pas la question des adresses email. Si au final les utilisateurs devraient être tranquilles en réagissant rapidement aux courriers envoyés, les attaquants ont potentiellement récupéré de nombreuses adresses. Il est donc possible qu’une telle base soit utilisée pour du spam.
Evernote indique que ce type d’attaque devient toujours plus commun. Un constat que nous ne pouvons qu’appuyer : plus les plateformes synchronisées se multiplient, plus ils deviennent attirants pour les pirates et plus la pression augmente sur le choix du mot de passe. Leur trop grande simplicité devient un véritable problème qui va croitre avec l’utilisation toujours plus intensive des comptes charnières, notamment chez Microsoft, Apple et Google.
