Service de synchronisation de notes en ligne Evernote oblige l’ensemble de ses 50 millions d’utilisateurs à réinitialiser leurs mots de passe après avoir détecté une activité suspecte sur son réseau.
Dans un e-mail envoyé aux utilisateurs aujourd’hui et publié sur son blog, Evernote a déclaré que les intrus numériques avaient eu accès aux noms d’utilisateur, aux adresses e-mail et aux mots de passe cryptés des clients. La société affirme n’avoir trouvé aucune preuve que le contenu que les utilisateurs stockent dans Evernote ait été consulté, modifié ou perdu, et qu’il n’y ait aucune indication d’accès aux informations de paiement pour les clients Evernote Premium ou Business.
« Même si ces informations ont été consultées, les mots de passe stockés par Evernote sont protégés par un cryptage à sens unique. (En termes techniques, ils sont hachés et salé) », a conseillé la société. « Bien que nos mesures de cryptage des mots de passe soient robustes, nous prenons des mesures supplémentaires pour garantir la sécurité de vos données personnelles. Cela signifie que, par prudence, nous demandons à tous les utilisateurs de réinitialiser les mots de passe de leur compte Evernote. Veuillez créer un nouveau mot de passe en vous connectant à votre compte sur evernote.com.”
Si vous utilisez Evernote (diable, même si vous ne l’utilisez pas), c’est le moment idéal pour revoir vos pratiques de mot de passe. En haut de la liste des mots de passe non-non, réutilisez votre mot de passe de messagerie sur n’importe quel autre site. De plus, bien que le hachage et le salage du mot de passe puissent être efficaces pour empêcher les attaquants de trouver votre mot de passe en cas de violation d’une entreprise qui stocke ces informations, il est loin d’être une protection solide. Evernote n’a pas précisé quel schéma il utilisait pour hacher les mots de passe, mais la norme de l’industrie est une approche assez faible dans laquelle la majorité des mots de passe peuvent être déchiffrés en un clin d’œil avec le matériel standard d’aujourd’hui.
Consultez cette interview largement lue pour plus d’informations sur la facilité avec laquelle la plupart des mots de passe hachés peuvent être déchiffrés aujourd’hui et sur ce que les organisations pourraient faire différemment pour mieux sécuriser les informations de leurs utilisateurs. Cet article contient quelques conseils sur la façon de choisir un mot de passe fort (par exemple, certains des mots de passe les plus forts ne sont pas du tout des mots mais des phrases à plusieurs mots). Enfin, si vous recevez un e-mail contenant un lien vous invitant à cliquer sur un lien pour réinitialiser votre mot de passe Evernote – ou tout autre mot de passe attribué à un service en ligne que vous utilisez – ne cliquez pas : visitez le site manuellement à la place pour éviter le hameçonnage par e-mail régimes.