Connexion
Abonnez-vous

Victime d’une attaque, Evernote réclame le changement des mots de passe

Le chiffrement permet de gagner du temps

Victime d'une attaque, Evernote réclame le changement des mots de passe

Le 04 mars 2013 à 10h43

Evernote a envoyé ce week-end des emails à l’ensemble de ses utilisateurs pour les avertir d’une brèche de sécurité dans ses serveurs. Bien qu’aucune information sensible n’ait a priori été volée, la société demande à ce que chaque mot de passe soit réinitialisé.

evernote business

Une attaque sur l'infrastructure d'Evernote

Evernote est célèbre pour son service de notes synchronisées et stockées à distance. Le service dispose de nombreuses applications pour un grand nombre de plateformes. Pour lier l’ensemble, l'utilisateur doit évidemment disposer d’un compte, dans lequel il fournit son nom d’utilisateur, une adresse email ainsi qu’un mot de passe. Il y a quelques jours, l’entreprise a été victime d’une intrusion sur ses serveurs, la forçant à avertir ses 50 millions d’utilisateurs.

 

Dans un communiqué, Evernote explique donc qu’une activité suspecte a été détectée dans son réseau. Par la suite, la société a découvert qu’il s’agissait d’une attaque cordonnée visant à pénétrer les défenses qui protègent les données personnelles des utilisateurs. Ces dernières n’ont pas été touchées finalement, mais les comptes eux-mêmes ont été affectés. Les données telles que les noms d’utilisateurs, les adresses email et les mots de passe ont fuité, tout du moins en partie.

Les mots de passe étaient chiffrés

Cependant, les mots de passe n’étaient pas inscrits en clair dans la base de données. Ils étaient chiffrés via la méthode du haché/salé. Cela signifie qu’Evernote stockait une empreinte des mots de passe agrémentée d’une autre séquence pseudo-aléatoire pour rendre la lecture plus complexe. De fait, le temps nécessaire pour déchiffrer ces données est beaucoup plus long. Ce qui ne veut pas dire que cette protection est absolue.

 

Conséquence, des emails ont été envoyés aux utilisateurs pour les inviter à se connecter au service pour changer leur mot de passe. Dès la connexion, la procédure de changement prend place automatiquement. En outre, des mises à jour sont distribuées sur les différentes plateformes pour rendre l’opération plus évidente aux utilisateurs. L’occasion pour Evernote de rappeler quelques règles de base, notamment de ne pas réutiliser des mots de passe déjà employés pour d’autres services, et de ne surtout pas piocher des mots dans le dictionnaire.

Attention sur la trop grande simplicité des mots de passe 

Evernote pêche toutefois en n’abordant pas la question des adresses email. Si au final les utilisateurs devraient être tranquilles en réagissant rapidement aux courriers envoyés, les attaquants ont potentiellement récupéré de nombreuses adresses. Il est donc possible qu’une telle base soit utilisée pour du spam.

 

Evernote indique que ce type d’attaque devient toujours plus commun. Un constat que nous ne pouvons qu’appuyer : plus les plateformes synchronisées se multiplient, plus ils deviennent attirants pour les pirates et plus la pression augmente sur le choix du mot de passe. Leur trop grande simplicité devient un véritable problème qui va croitre avec l’utilisation toujours plus intensive des comptes charnières, notamment chez Microsoft, Apple et Google.

Commentaires (14)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

fait chier jdoit le changer

votre avatar



des mots de passé

votre avatar







Winderly a écrit :



des mots de passé







Ben oui, des anciens mots de passe, des mots du passé!


votre avatar

moi non plus je n’ai pas reçu d’email

je n’étais pas connecté ces derniers jours, ce qui l’explique peut-être









Nerdebeu a écrit :



Ce qui me fait doucement rigoler (jaune) du reste puisque les caractères spéciaux ne sont pas autorisés. Génial leur avertissement. Ne sont autorisés que chiffres, lettres, et ponctuation.





choisis un mot de passe simple (à retenir, donc) mais long, c’est encore le plus sûr

du genre composé des initiales des mots d’un texte


votre avatar







ipozero a écrit :



moi non plus je n’ai pas reçu d’email

je n’étais pas connecté ces derniers jours, ce qui l’explique peut-être





choisis un mot de passe simple (à retenir, donc) mais long, c’est encore le plus sûr

du genre composé des initiales des mots d’un texte







Ordinairement, j’utilise KeyPass: http://keepass.info/



Donc pas de souci pour retenir les mots de passe. J’utilise soit son générateur de mots de passe, soit en crée un moi-même, et me sers de Keypass pour vérifier sa “dureté”, les caractères spéciaux ajoutant rapidement beaucoup plus de bits que les caractères classiques pour avoir l’équivalent.



Le problème ne réside pas dans le choix du mot de passe, donc, mais sur le fait qu’un site qui invite à faire preuve de prudence quant à ceux-ci et qui restreint l’utilisation soit de caractères, soit du nombre de caractères, soit des deux ne fait pas vraiment preuve de cohérence ni de sérieux lorsqu’il demande à ses utilisateurs d’ être plus rigoureux. Il faudrait déjà qu’ils permettent que les gens se sécurisent sans ces restrictions.


votre avatar

Je n’ai reçu aucun e-mail de leur part <img data-src=" /> C’est seulement une partie des abonnés qui le recevront ?

votre avatar

Reçu effectivement. J’aurais préféré qu’on prenne mes notes que mon mdp. <img data-src=" />

votre avatar



Ils étaient chiffrés via la méthode du haché/salé





Sans parler que c’est très bizarrement dit, c’est pour le moins imprécis, le hachage n’est pas du chiffrement. Le propre du chiffrement est de pouvoir revenir au message en clair à partir du message chiffré et d’une clé.



Pour revenir sur le sujet de l’article, les services deviennent tellement gros et donc attractif pour les attaquants que la question n’est plus si ils se feront attaquer, mais quelle est la sécurité offerte quand ils se feront attaquer.



Peut être que Mozilla BrowserID (ou équivalent) résoudra ce problème des mots de passes. Mais encore une fois ça fait reposer toute la sécurité sur un seul point … il y a comme toujours dans ce cas des avantages et inconvénients : ca réduit la surface d’attaque mais ça fragilise quand même le système global. A méditer.

votre avatar

Me suis inscrit Vendredi… Vraiment pas de bol… <img data-src=" />

votre avatar



Leur trop grande simplicité devient un véritable problème qui va croitre avec l’utilisation toujours plus intensive des comptes charnières, notamment chez Microsoft, Apple et Google.





Ce qui me fait doucement rigoler (jaune) du reste puisque les caractères spéciaux ne sont pas autorisés. Génial leur avertissement. Ne sont autorisés que chiffres, lettres, et ponctuation.

votre avatar



Ils étaient chiffrés via la méthode du haché/salé





Ça a l’air délicieux comme recette!

votre avatar







SteelSkin a écrit :



Ça a l’air délicieux comme recette!





C’est surtout un peu contradictoire <img data-src=" />

C’est un peu comme dire nous avons fait l’aller retour Paris-Nice grâce au vol aller simple Paris-Nice (wtf ?)


votre avatar



L’occasion pour Evernote de rappeler quelques règles de base, notamment de ne pas réutiliser des mots de passe déjà employés pour d’autres services, et de ne surtout pas piocher des mots dans le dictionnaire.





Règle de sécurité n°1, ne pas utiliser un service centralisé, type Evernote, pour gérer ses informations confidentielles.



Sympa de faire la morale à ses utilisateurs alors que c’est leur sécurité qui est en cause <img data-src=" />

votre avatar

Ah ça explique mes app qui me faisait la gueule et le mot de passe expiré une fois connecté via l’interface web <img data-src=" />



par contre je n’ai pas reçu d’e-mail en dehors d’un mail qui me permettait d’annuler le changement de mdp dans les 2h si je n’étais pas l’auteur.

Victime d’une attaque, Evernote réclame le changement des mots de passe

  • Une attaque sur l'infrastructure d'Evernote

Fermer