Victime d'une attaque, Evernote réclame le changement des mots de passe

Victime d’une attaque, Evernote réclame le changement des mots de passe

Le chiffrement permet de gagner du temps

Avatar de l'auteur

Vincent Hermann

Publié dansLogiciel

04/03/2013
14
Victime d'une attaque, Evernote réclame le changement des mots de passe

Evernote a envoyé ce week-end des emails à l’ensemble de ses utilisateurs pour les avertir d’une brèche de sécurité dans ses serveurs. Bien qu’aucune information sensible n’ait a priori été volée, la société demande à ce que chaque mot de passe soit réinitialisé.

evernote business

Une attaque sur l'infrastructure d'Evernote

Evernote est célèbre pour son service de notes synchronisées et stockées à distance. Le service dispose de nombreuses applications pour un grand nombre de plateformes. Pour lier l’ensemble, l'utilisateur doit évidemment disposer d’un compte, dans lequel il fournit son nom d’utilisateur, une adresse email ainsi qu’un mot de passe. Il y a quelques jours, l’entreprise a été victime d’une intrusion sur ses serveurs, la forçant à avertir ses 50 millions d’utilisateurs.

 

Dans un communiqué, Evernote explique donc qu’une activité suspecte a été détectée dans son réseau. Par la suite, la société a découvert qu’il s’agissait d’une attaque cordonnée visant à pénétrer les défenses qui protègent les données personnelles des utilisateurs. Ces dernières n’ont pas été touchées finalement, mais les comptes eux-mêmes ont été affectés. Les données telles que les noms d’utilisateurs, les adresses email et les mots de passe ont fuité, tout du moins en partie.

Les mots de passe étaient chiffrés

Cependant, les mots de passe n’étaient pas inscrits en clair dans la base de données. Ils étaient chiffrés via la méthode du haché/salé. Cela signifie qu’Evernote stockait une empreinte des mots de passe agrémentée d’une autre séquence pseudo-aléatoire pour rendre la lecture plus complexe. De fait, le temps nécessaire pour déchiffrer ces données est beaucoup plus long. Ce qui ne veut pas dire que cette protection est absolue.

 

Conséquence, des emails ont été envoyés aux utilisateurs pour les inviter à se connecter au service pour changer leur mot de passe. Dès la connexion, la procédure de changement prend place automatiquement. En outre, des mises à jour sont distribuées sur les différentes plateformes pour rendre l’opération plus évidente aux utilisateurs. L’occasion pour Evernote de rappeler quelques règles de base, notamment de ne pas réutiliser des mots de passe déjà employés pour d’autres services, et de ne surtout pas piocher des mots dans le dictionnaire.

Attention sur la trop grande simplicité des mots de passe 

Evernote pêche toutefois en n’abordant pas la question des adresses email. Si au final les utilisateurs devraient être tranquilles en réagissant rapidement aux courriers envoyés, les attaquants ont potentiellement récupéré de nombreuses adresses. Il est donc possible qu’une telle base soit utilisée pour du spam.

 

Evernote indique que ce type d’attaque devient toujours plus commun. Un constat que nous ne pouvons qu’appuyer : plus les plateformes synchronisées se multiplient, plus ils deviennent attirants pour les pirates et plus la pression augmente sur le choix du mot de passe. Leur trop grande simplicité devient un véritable problème qui va croitre avec l’utilisation toujours plus intensive des comptes charnières, notamment chez Microsoft, Apple et Google.

14
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

Avec neutralité, sans neutralité

16:58 ÉcoWeb 8
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Crypto influenceurs

16:41 Éco 3
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Ça en fait des démarrage de DeLorean

14:45 Science 1

Sommaire de l'article

Introduction

Une attaque sur l'infrastructure d'Evernote

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 8
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 3
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 1
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 49

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 2
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 20
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 17

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Poing Dev

Le poing Dev – Round 7

Next 73
Logo de Gaia-X sour la forme d’un arbre, avec la légende : infrastructure de données en forme de réseau

Gaia-X « vit toujours » et « arrive à des étapes très concrètes »

WebSécu 6

Trois consoles portables en quelques semaines

Hard 37
Une tasse estampillée "Keep calm and carry on teaching"

Cyberrésilience : les compromis (provisoires) du trilogue européen

DroitSécu 3

#LeBrief : fuite de tests ADN 23andMe, le milliard pour Android Messages, il y a 30 ans Hubble voyait clair

#Flock a sa propre vision de l’inclusion

Flock 25
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #10 : nous contacter et résumé de la semaine

44
Autoportrait Sébastien

[Autoportrait] Sébastien Gavois : tribulations d’un pigiste devenu rédac’ chef

Next 21
Logo de StreetPress

Pourquoi le site du média StreetPress a été momentanément inaccessible

Droit 21
Amazon re:Invent

re:Invent 2023 : Amazon lance son assistant Q et plusieurs services IA, dont la génération d’images

IA 14
Un œil symbolisant l'Union européenne, et les dissensions et problèmes afférents

Le Conseil de l’UE tire un bilan du RGPD, les États membres réclament des « outils pratiques »

Droit 6

19 associations européennes de consommateurs portent plainte contre Meta

DroitSocials 16

#LeBrief : Ariane 6 l’été prochain, Nextcloud rachète Roundcube, désinformation via la pub

Chiffre et formules mathématiques sur un tableau

CVSS 4.0 : dur, dur, d’être un expert !

Sécu 16
Une tête de fusée siglée Starlink.

Starlink accessible à Gaza sous contrôle de l’administration israélienne

Web 35
Fibre optique

G-PON, XGS-PON et 50G-PON : jusqu’à 50 Gb/s en fibre optique

HardWeb 53
Photo d'un immeuble troué de part en part

Règlement sur la cyber-résilience : les instances européennes en passe de conclure un accord

DroitSécu 10
lexique IA parodie

AGI, GPAI, modèles de fondation… de quoi on parle ?

IA 11

#LeBrief : logiciels libres scientifiques, fermeture de compte Google, « fabriquer » des femmes pour l’inclusion

MIA : l’IA d’enseignement de Gabriel Attal pour faire oublier le classement PISA

IASociété 63

Une main sur laquelle est collée une étiquette où est écrit "human".

AI Act : des inquiétudes de l’impact de la position française sur les droits humains

DroitIA 1

Un tiroir montrant de nombreuses fiches voire fichiers

Une centaine d’ONG dénonce l’expansion du fichier paneuropéen biométrique EURODAC

DroitSécu 1

WhatsApp

Meta coupe le lien entre Instagram et Messenger

Soft 3

Nuage (pour le cloud) avec de la foudre

Cloud : Amazon rejoint Google dans l’enquête de la CMA sur les pratiques de Microsoft

DroitWeb 0

Des billets volent dans les airs.

Mistral AI s’apprête à lever 450 millions d’euros auprès de NVIDIA et a16z

ÉcoIA 0

Commentaires (14)


Jarodd Abonné
Il y a 11 ans

Je n’ai reçu aucun e-mail de leur part <img data-src=" /> C’est seulement une partie des abonnés qui le recevront ?


coucou_lo_coucou_paloma
Il y a 11 ans

Reçu effectivement. J’aurais préféré qu’on prenne mes notes que mon mdp. <img data-src=" />


bzc Abonné
Il y a 11 ans


Ils étaient chiffrés via la méthode du haché/salé


Sans parler que c’est très bizarrement dit, c’est pour le moins imprécis, le hachage n’est pas du chiffrement. Le propre du chiffrement est de pouvoir revenir au message en clair à partir du message chiffré et d’une clé.

Pour revenir sur le sujet de l’article, les services deviennent tellement gros et donc attractif pour les attaquants que la question n’est plus si ils se feront attaquer, mais quelle est la sécurité offerte quand ils se feront attaquer.

Peut être que Mozilla BrowserID (ou équivalent) résoudra ce problème des mots de passes. Mais encore une fois ça fait reposer toute la sécurité sur un seul point … il y a comme toujours dans ce cas des avantages et inconvénients : ca réduit la surface d’attaque mais ça fragilise quand même le système global. A méditer.


mo6h
Il y a 11 ans

Me suis inscrit Vendredi… Vraiment pas de bol… <img data-src=" />


Davco
Il y a 11 ans


Leur trop grande simplicité devient un véritable problème qui va croitre avec l’utilisation toujours plus intensive des comptes charnières, notamment chez Microsoft, Apple et Google.


Ce qui me fait doucement rigoler (jaune) du reste puisque les caractères spéciaux ne sont pas autorisés. Génial leur avertissement. Ne sont autorisés que chiffres, lettres, et ponctuation.


SteelSkin
Il y a 11 ans


Ils étaient chiffrés via la méthode du haché/salé


Ça a l’air délicieux comme recette!


RaYz
Il y a 11 ans






SteelSkin a écrit :

Ça a l’air délicieux comme recette!


C’est surtout un peu contradictoire <img data-src=" />
C’est un peu comme dire nous avons fait l’aller retour Paris-Nice grâce au vol aller simple Paris-Nice (wtf ?)



Delqvs Abonné
Il y a 11 ans


L’occasion pour Evernote de rappeler quelques règles de base, notamment de ne pas réutiliser des mots de passe déjà employés pour d’autres services, et de ne surtout pas piocher des mots dans le dictionnaire.


Règle de sécurité n°1, ne pas utiliser un service centralisé, type Evernote, pour gérer ses informations confidentielles.

Sympa de faire la morale à ses utilisateurs alors que c’est leur sécurité qui est en cause <img data-src=" />


djengo Abonné
Il y a 11 ans

Ah ça explique mes app qui me faisait la gueule et le mot de passe expiré une fois connecté via l’interface web <img data-src=" />

par contre je n’ai pas reçu d’e-mail en dehors d’un mail qui me permettait d’annuler le changement de mdp dans les 2h si je n’étais pas l’auteur.


Anonyme
Il y a 11 ans

fait chier jdoit le changer


Winderly Abonné
Il y a 11 ans


des mots de passé


SteelSkin
Il y a 11 ans






Winderly a écrit :

des mots de passé



Ben oui, des anciens mots de passe, des mots du passé!



ipozero
Il y a 11 ans

moi non plus je n’ai pas reçu d’email
je n’étais pas connecté ces derniers jours, ce qui l’explique peut-être






Nerdebeu a écrit :

Ce qui me fait doucement rigoler (jaune) du reste puisque les caractères spéciaux ne sont pas autorisés. Génial leur avertissement. Ne sont autorisés que chiffres, lettres, et ponctuation.


choisis un mot de passe simple (à retenir, donc) mais long, c’est encore le plus sûr
du genre composé des initiales des mots d’un texte



Davco
Il y a 11 ans






ipozero a écrit :

moi non plus je n’ai pas reçu d’email
je n’étais pas connecté ces derniers jours, ce qui l’explique peut-être


choisis un mot de passe simple (à retenir, donc) mais long, c’est encore le plus sûr
du genre composé des initiales des mots d’un texte



Ordinairement, j’utilise KeyPass: http://keepass.info/

Donc pas de souci pour retenir les mots de passe. J’utilise soit son générateur de mots de passe, soit en crée un moi-même, et me sers de Keypass pour vérifier sa “dureté”, les caractères spéciaux ajoutant rapidement beaucoup plus de bits que les caractères classiques pour avoir l’équivalent.

Le problème ne réside pas dans le choix du mot de passe, donc, mais sur le fait qu’un site qui invite à faire preuve de prudence quant à ceux-ci et qui restreint l’utilisation soit de caractères, soit du nombre de caractères, soit des deux ne fait pas vraiment preuve de cohérence ni de sérieux lorsqu’il demande à ses utilisateurs d’ être plus rigoureux. Il faudrait déjà qu’ils permettent que les gens se sécurisent sans ces restrictions.