Une intrusion sur les serveurs d'Evernote

Florian Innocente |
Les serveurs d'Evernote ont fait l'objet d'une intrusion. L'éditeur demande à ses utilisateurs de modifier le mot de passe associé à leur compte en allant sur le site du service. Cette demande de réinitialisation se fera automatiquement une fois identifié. Il faudra aussi utiliser le nouveau mot de passe sur les applications mobiles.

Evernote explique avoir détecté une activité douteuse sur son réseau, avec une tentative coordonnée d'accéder à des zones protégées. Au vu des observations faites par le site, les intrus ont pu accéder aux identifiants et adresses électroniques associés aux comptes utilisateurs, mais les mots de passe sont, eux, chiffrés.



Tags
avatar Mark Twang | 
Ce sont sûrement mes élèves qui veulent avoir mon sujet de contrôle :)
avatar MA8306 | 
Ils font ch... Srx !
avatar rv689 | 
Je viens de faire le changement de mot de passe comme Evernote le demandait; attention; après le changement, TOUTES mes notes ont disparu!!
avatar victoria2 | 
Et voilà ce que c'est de fonctionner avec du cloud. Remettre des donnes privées aux mains de tiers.
avatar albedo83 | 
@victoria2 Ben tiens tu me ramenes à mes interrogations du moment, je cherche un gestionnaire de password multiplateformes, donc cloud. Une idée d'un truc safe ?
avatar BlueVelvet | 
... en effet, je viens de me faire une frayeur, comme d'autres ;-) Au lancement d'Evernote, un message «votre mot de passe semble avoir été modifié», ce qui n'était pas le cas. Il faut donc réinitialiser le mot de passe. On peut remettre l'ancien. Dans ce cas, pas de changement sur iPhone et iPad, ça se lance et synchronise sans problème. Ceci m'amène à une question bête: on peut sauvegarder ses notes Evernote dans un fichier, pour back-up. Elles sont en format HTML. Si un jour, pour une raison quelconque, Evernote s'écroulait, que pourrait-on faire avec notre sauvegarde en HTML? D'autres apps permettraient de les lire? On pourrait les récupérer dans un traitement de texte par ex.? Merci d'avance aux connaisseurs!
avatar poco | 
Allez-y bonnes gens mettez vos données personelles et professionelles dans le Cloud. En rang les moutons on vous dit que c'est sécurisé. Alors que des pirates s'infiltrent dans les sites des insitutions ultra-sécurisées (Armée, CIA etc...) donnez vos données à n'importe quelle société sur le web sans savoir qui est derrière en plus. Si au moins il existait un organisme tiers de certification des sociétés proposant ce genre de services attestant de la sécurité et du sérieux ce serait un peu plus sécurisant. Et encore...
avatar Ibiscus | 
poco : +++1
avatar jefrey | 
Ça craint… de toute manière quand on utilise ce genre de services, j'imagine qu'on est suffisamment conscient des risques de déposer des données sur un serveur dont on ne connait pas le fonctionnement et l'utilisation de ses données, pour ne pas y mettre des fichiers "sensibles".
avatar sinbad21 | 
@BlueVelvet Pas une bonne idée de remettre l'ancien password. Les emails et les passwords ont été dérobés. Même si les passwords sont cryptés, les hackers vont essayer de casser le code de cryptage. Autant ne pas prendre de risque, et changer le password.
avatar albedo83 | 
@poco ++++1 Je suis assez vieux pour mettre des francs sous le matelas, je vais y rajouter mes mdp, la ça donne pas envie.
avatar BlueVelvet | 
@sinbad21 Merci pour ta remarque, je note. @Poco Faut pas exagérer quand même, personne ne mettrait dans une app en cloud des données hyper-personnelles... Si un hacker russe, chinois ou martien veut lire mes notes de ma dernière séance avec mon chef, libre à lui et bon plaisir ;-)
avatar BlueVelvet | 
... mais je repose la question de la sauvegarde en HTML: si l'on sauvegarde ses notes Evernote en HTML, sur un disque local donc (pas en ligne), peut-on au besoin les lire et restaurer via une autre app...?
avatar BlueVelvet | 
@Poco Cela dit ton idée de la certification est intéressante... Un nouveau sujet pour MacGé?
avatar jipeca | 
@ Poco, albedo83, victoria2, jefrey,Ibiscus... + 10 exposant X... Manque de sécurité, perte de contrôle, dépendance, technologie balbutiante... Même si les connaissances des utilisateurs en termes de sécurité informatique deviennent de plus en plus importantes, elles n´évoluent pas aussi rapidement que les nouvelles menaces, ce qui constitue un véritable problème. La plupart du temps les menaces ne sont pas nouvellement crées, ce qui évolue, en revanche ce sont les façons dont elles se répandent. Avec l´externalisation, les réseaux sociaux sur internet et la multiplication des appareils mobiles, voler des données ou usurper une identité n´a jamais été aussi facile. De plus, les frontières entre les systèmes particuliers et professionnels deviennent de plus en plus floues. Les employés mettent à jour leur profil Facebook via leur ordinateur professionnel, réservent leurs prochaines vacances à partir de leurs Smartphones ou encore se connectent à des sites web via des blogs internes. Losqu'on externalise ses services informatiques, on confie également sa confidentialité, son intégrité et la disponibilité de ses données. La plupart des hébergeurs vendent à leurs clients un package complet. Bien que la qualité de service soit garantie par « service level agreement » (SLA), ces labels couvrent très peu souvent les aspects de sécurité informatique. La sécurité des données et souvent incluse dans un package globale et le client signe souvent le tout inconsidérément et « à la va-vite ». Les besoins actuels de l´entreprise ne sont pas pris en compte. Lors de la sélection du partenaire, les décisionnaires devraient faire plus attention à leur système de sécurité existant. Le système proposé répond-il aux besoins spécifiques de l´entreprise ? Quelles sont les garanties proposées par le prestataire ? Le système de rapport est-il complet ? Que se passe-t-il en cas d´abus ou de vol des données ? Qui est responsable ? Ce sera sans moi et pour un sacré bout de temps !
avatar MrSeboo | 
J'ai changé mon mdp de boîte mail et d'evernote. Vaut mieux être prudent @albedo83: Y'a 1Password, sa fonctionne sous forme d'une extension du navigateur. Pour être multiplateforme, met le sur dropbox ;). Pour plus d'info sur 1P va ici: http://www.debutersurmac.com/tutoriels/1password.html
avatar rv689 | 
Dans mon cas, il s'agissait de notes sans intérêt particulier et à caractère non confidentiel, la perte de mes notes n'est pas grave; ça m'évitera par contre de prendre un abonnement payant chez Evernote, c'est une bonne leçon, je le déconseille d'ailleurs à tout le monde; comme plusieurs d'entre vous vous le soulignez, ça me conforte aussi dans le fait qu'il ne faut accorder AUCUNE confiance au cloud pour la dépose de données confidentielles, malgré le baratin des professionnels du secteur.
avatar mbpmbpmbp | 
il va y avoir une sacré gueule de bois d'ici quelques années, l'après facebook / cloud / instagram / dropbox gratuits que tout le monde utilisent sans vraiment réfléchir... je crois que le plus drôle ce sera quand un Google Face fera son apparition (techno déjà prête)... on rentre une photo dans google, reconnaissance de visage toutes tes photos des 20 dernieres années qui apparaissent. Tous ces moment honteux de l'adolescence qu'on voudrait oublier, accessible par n'importe qui et n'importe quand héhé :) (Demande de visa pour un pays comme les USA : "sorry sir this instagram photo taken by your friends 12 years ago show you smoking weed when you were 14 years old. You're dangerous for USA" :D "you're dropbox account says that your worked for *nom d'un pays ennemi des US à ce moment* 10 years ago, we need to investigate on you") Et le soucis n'est plus vraiment de controler ce que VOUS mettez sur internet, mais aussi ce que les gens postent à propos de vous. (recoupement des informations de tous vos amis sur tous vos reseaux sociaux)
avatar victoria2 | 
Il faudrait que le ministère au numérique travaille sur le sujet. Genre un liflet sur la sécurité à toute personne achetant un appareil connecté. Aurait- on l'idée d'installer un porte simple pour sa maison avec copie de la clé dans un pot à fleur..pire un porte blindée (bien mieux) toujours avec les clefs dans le pot à fleurs ! Ah l' ignorance de nos jours. Je tremble !
avatar albedo83 | 
@jipeca +1 Voilà... Je ne m'epanche pas generalement, j'ai pas cette qualité, mes données perso resteront hors cloud
avatar mpepito13 | 
@lemouzyh Tes données sur Evernote ne sont peut être pas sensibles mais j'espère que tu n'utilises pas le même mot de passe ou une declinaison sur tes comptes mails, amazon, iTunes, Facebook, Twitter, dropbox, etc... Perso, je n'ai quasi rien dessus donc je me fiche qu'on me pirate ce compte. Par contre je vais quand même devoir changer mon mdp sur pleins d'autres services.
avatar liocec | 
@mbpmbpmbp : +1 pour la section en langue anglaise...
avatar victoria2 | 
@mbpmbpmbp : 'Et le soucis n'est plus vraiment de controler ce que VOUS mettez sur internet, mais aussi ce que les gens postent à propos de vous. (recoupement des informations de tous vos amis sur tous vos reseaux sociaux)' 1000++++ je suis lasse de prêcher dans le désert. Google et Facebook= Le produit c'est toi. En plus si les infos sont hackés....we double gotcha !
avatar victoria2 | 
Si on continue à être parano on va se bientot se retrouver dans un groupuscule a la matrix contre les machines. Va-t-on vivre comme dans les films de science fiction ?
avatar Sindanárië | 
@victoria2 : Il y a des chances.
avatar Sindanárië | 
... Enfin... Malchance plutôt
avatar leparisiendu972 (non vérifié) | 
S'ils s'emparent de mes cours de droit, je leur fait un procès !
avatar albedo83 | 
@victoria2 Oui
avatar RDBILL | 
font chier ces Chinois, Facebook, Apple, Microsoft, Evernote, que des boîtes US....
avatar sinbad21 | 
Il faudrait qu'Evernote mette en place la double authentification, comme ça existe chez Google. C'est valable pour iTunes aussi d'ailleurs. La protection par un seul mot de passe ça ne suffit plus.
avatar Anonyme (non vérifié) | 
@sinbad21 : Puis triple, ensuite quadruple...
avatar Johnny B. Good | 
@ poco : Dans le fond, ok. Dans la forme, c'est pas une raison pour être aussi agressif et insulter les gens. Y'a mille façons d'être un peu plus humain et d'expliquer pourquoi le Cloud peut représenter un péril pour les données. Dire aux gens "allez les moutons" n'en est absolument pas une et devrait te valoir une modération.
avatar MacGyver | 
putain, les chinois ont essayé de me piquer toutes mes recettes de cuisine !!! ah ah ah C'est bien beau de se prendre la tete sur le securite, mais n'oubliez pas que l'essentiel dans votre vie est rarement contenu dans qq notes dont tout le mode se fout l'essentiel est ailleurs
avatar Orus | 
Ah le cloud... Formidable... On va tout droit à la catastrophe. Faudra pas pleurer dans quelques temps.
avatar BebMac | 
Pour Evernote pour iPhone il faut mettre à jour l'App (5.2.2) pour pouvoir mettre un nouveau mot de passe. La version précédente "plante" exprès (?).
avatar AirForceTwo | 
@Mac*Gyver : 'C'est bien beau de se prendre la tete sur le securite, mais n'oubliez pas que l'essentiel dans votre vie est rarement contenu dans qq notes dont tout le mode se fout l'essentiel est ailleurs' Tu te trompes. L'essentiel de ta vie est dans les documents les plus banals, une facture d'électricité, une lettre de ton opérateur téléphonique. Une adresse, des informations sur ton âge, le nom de l'entreprise ou tu travailles, et ça suffit pour commencer un vol d'identité. Ensuite, après quelques recherches, on trouves aisément le nom de jeune fille de ta mère, ce qui permet d'aller voler ton mot de passe courriel en répondant à la question de sécurité. Enfin, avec toutes les informations contenues dans ta boîte de réception, on peut se commander une carte de crédit à ton nom, faire des achats à ton nom, commettre des infractions en ton nom, on peut tout savoir de ta vie, tes habitudes. Tout ça commence avec quelques notes. Certains se font une spécialité de fouiller dans les poubelles à papiers des particuliers, il y a de vrais trésors :)
avatar debione | 
@HyperBallad: Tu as entièrement raison, notre vie entière est très aisément décorticable. Mais si je regarde mon enfant, la tout à coup, on a bien pu me pirater tout mon cloud que c'est pas très important... L'essentiel de ma vie est réellement ailleurs que sur mes ordis ou un cloud... (parce que bon, même si tout ce que tu dis est possible, tu as 100X plus de chance de mourir dans un accident de la route... Donc faut plus sortir de chez toi(ce qui n'empêche pas de prendre certaines précaution quand on utilise du cloud...)) ;)
avatar Jetel | 
@HyperBallad : Mmm, tu sembles bien renseigné :P Mais en effet tu as vraiment raison. Néanmoins, certaines personnes mettent des données personnelles importantes dans le cloud, même si ces personnes ne sont pas majoritaires. Les bases d'un projet, d'une idée.. Ma mère par exemple sauvegarde tout ses mot de passes et numéro de carte sur un fichier qui se trouve enregistré sur iCloud, pas parce qu'elle a envie de se faire vider son compte mais parce qu'elle n'y connait strictement rien. C'est pas la seule je pense... Bon après, on peut aussi récupérer des données quand elles sont sur les HD des gens mais la c'est une autre histoire. Ce genre d'affaire est intéressante en ce temps ou nous sommes de plus en plus poussé au cloud computing je trouve
avatar i-han | 
je trouve très drole le paradoxe privé/professionnel A entendre les fans de la pomme, un ipad est un outil de pro avec lequel on peut travailler. parfait ! donc toutes ces donnés vont sur le cloud car pour echanger sur ipad, ben il y a rien, sauf a utiliser les dropbox, drive et autre evernotes... je connais plein de petites societés qui ne bossent que avec dropbox pour partager leurs donnés. Grand malheur en perspective, au vue de la faiblesse sécuritaire de tout ces cloudeurs
avatar sylko | 
@albedo83 : lastpass.com Je l'utilise depuis des années sans problème. ;-)
avatar Madmac | 
je suis vraiment honoré de partager mes lectures avec des gens aussi importants que les abonnés à MacG. en lisant les commentaires, j'ai l'impression d'être avec des gens de la datar ou des services secrets ou de très grosses entreprise de pointe... parce que pour moi, les infos que j'ai sur le nuage n'intéresserait éventuellement que mes concurrents, ou une personne proche de mes clients. dans les deux cas, il faudrait qu'ils aient beaucoup de temps à perdre pour reconstituer le puzzle des données et le jeu (le risque) n'en vaut pas la chandelle.
avatar ysengrain | 
Réinitialisatipn de mot de passe faite. Toutes mes données sont perdues. Super
avatar vudela | 
Pour ma part, les pirates trouverons sur mon compte evernote, toutes les mesures de ma maison ainsi que la liste des travaux à y faire. S'ils pouvaient les faire à ma place, je suis preneur.
avatar Kounkountchek | 
@ysengrain Comment ça données perdues? Ils ont juste fait un reset des password, aucune données n'a été perdue (en tout cas c'est ce qu'ils disent sur leur blog) Voit avec le support parce que je suis pas sur qu'il y ait un lien. En tout cas cela montre surtout le danger d'utiliser un seul mot de passe pour différents services, d'où l'intérêt d'utiliser un générateur de mot de passe (et qui les memorise aussi...) style 1password, de creer un mot de passe par service et de les stocker localement.
avatar Yapaka | 
@ysengrain : Sûr ? Il faut laisser le temps pour les recharger. Bonne chance
avatar dumbkiller | 
@Johnny B. Good : Il a bien raison, et si tu le prends de la sorte c'est certainement parce que tu dois te sentir comme un mouton toi aussi ;) On se fout de la forme, @poco a entierement raison et il le dit a sa maniere qui je dois l'avouer represente assez bien le comportement des gens de nos jours... '' vu a la TV '' ahh mais ca doit etre vrai alors !! En rang les moutons !!
avatar Kounkountchek | 
@Dumbkiller On est toujours le mouton de quelqu'un. Ah, t'utilises un iPhone? T'es bouffé par le marketing d'Apple et t'es content de payer une fortune pour acheter un objet à la mode alors que tu pourrais payer la moitié pour un système plus ouvert. Alors?
avatar mac-md2i | 
Les commentaires liés a cet article sont intéressants a double titre, mais avec un seul point commun : le frein psychologique en lieu et place d'une analyse rationnelle. Tout d'abord, l'article précise bien que les mots de passes sont chiffrés. Si une activité douteuse à été détectée, elle a consisté à récupérer la liste des comptes mails. Il n'est nul part indiqué que ces manœuvres ont permis de récupérer l'intégralité des informations nécessaires a la compromission des carnets des utilisateurs (login ET mot de passe) permettant d'accéder au contenu des informations. Qui plus est, l'attitude d'evernote face à ce problème devrait plutôt rassurer ses utilisateurs : cet éditeur joue la transparence, y compris pour ses utilisateurs sans abonnement. On a déjà vu des éditeurs moins prompt à réagir, et encore moins à communiquer. Mais comme il s'agit d'une solution cloud, concept encore mal compris par grand nombre d'utilisateurs, c'est l'hallali ! Ensuite, vient la problématique, maintes fois soulevé dans les commentaires, de la confiance. Ce qui me fait sourire, ce sont tous les utilisateurs potentiels de PC qui refusent par principe d'utiliser des solutions cloud, car "non certifiée" ou "non sécurisée". Est-ce qu'il pourrait leur traverser l'esprit, que leur PC est très probablement moins bien sécurisé que ce genre de service ? Peut être même que des malwares y sont installés depuis des mois, permettant à des individus malveillants d'accéder au contenu (pour le coup assurément privé) de leurs ressources. Le tout en toute discrétion, sans même qu'ils ne s'en rendent compte ? Et puis enfin : en quoi est-il plus dangereux de laisser quelques notes dans un service cloud (EverNote, drop box, etc) que de laisser sa vie privée sur Facebook ? De nombreux éditeurs ont connu des déboires dans le passé (Sony, Linkedin, ...) est-ce que cela veut dire que nous devrions tous retourner à nos disquettes au fond d'un coffre fort ? Un éditeur qui reconnaît publiquement un incident, alliant réactivité, transparence et mise a disposition d'une solution, devrait au contraire
avatar mac-md2i | 
être salué...
avatar Mark Twang | 
@mac-md2i J'abonde dans ton sens.

Pages

CONNEXION UTILISATEUR