Nous avons beaucoup écrit sur les violations de données ces dernières années, mais celle-ci comporte une ou deux particularités qui méritent d’être soulignées.
Selon Flipboard, les pirates ont eu accès aux données entre le 2 juin 2018 et le 23 mars 2019, ainsi que pendant une courte période entre le 21 et le 22 avril 2019.
Le nombre d’utilisateurs de Flipboard, dont les données ont été compromises n’est pas clair à l’heure actuelle. Les données volées contiendraient, des noms, des identifiants Flipboard, des adresses électroniques et des mots de passe hachés.
La bonne nouvelle est que les mots de passe des comptes créés après 2012 ont été salés et hachés à l’aide de Bcrypt, compliquant ainsi largement la vie d’un individu qui tenterait de deviner ces mots de passe sécurisés, quelle que soit l’ampleur des efforts déployés. Cependant, les comptes créés avant le 14 mars 2012 (et non modifiés depuis) utilisaient le système SHA-1 moins sécurisé.
Réinitialiser le mot de passe
La première question qui nous vient à l’esprit est alors : “Devrais-je changer mon mot de passe ?”. L’avis de Flipboard est le suivant :
Par précaution, nous avons réinitialisé tous les mots de passe des utilisateurs, même s’ils étaient protégés de manière cryptographique et malgré le fait que la totalité des informations des comptes des utilisateurs n’était pas impliquée.
Toutefois, quiconque reste connecté (à partir de son smartphone, par exemple) ne sera pas informé de la nécessité de réinitialiser son mot de passe, à moins de se déconnecter ou de tenter d’accéder à Flipboard à partir d’un nouvel appareil.
Notre conseil est de ne pas tenir compte de l’incertitude quant au nombre précis d’utilisateurs affectés et de modifier manuellement le mot de passe, et d’en choisir un nouveau plus sécurisé, et ce dès que possible. Si vous n’avez pas changé de mot de passe depuis mars 2012, cette opération est devenue une urgence absolue (la base d’utilisateurs de Flipboard avoisinait les 20 millions à cette époque-là).
Si vous pensez avoir déjà réutilisé votre mot de passe Flipboard sur un autre site, vous devrez également le modifier sur ce dernier.
Connexion à des services tiers
Une fonctionnalité Flipboard disponible depuis environ 2015 offre la possibilité d’enregistrer rapidement un nouveau compte via Google, Facebook et Twitter en utilisant le protocole Single Sign On (SSO). Cette possibilité est un réel problème, a souligné l’avertissement émis par Flipboard :
Les bases de données [violées] peuvent contenir des jetons numériques utilisés pour connecter votre compte Flipboard à ce compte tiers. Par précaution, nous avons remplacé ou supprimé tous les jetons numériques afin d’éliminer toute possibilité d’utilisation abusive.
Avant leur modification, les pirates auraient pu utiliser ces jetons pour :
Lire ou rédiger des publications et des messages sur le compte en question et accéder à certaines informations du compte utilisateur, telles que le nom d’utilisateur, les informations du profil, les publications sur le site et les diverses connexions effectuées. Dans certains cas, cet accès permettait également de modifier ces informations, par exemple en invitant de nouvelles personnes à se connecter.
L’entreprise a déclaré qu’elle n’avait pas détecté d’utilisation abusive de ces comptes, mais que les jetons avaient été actualisés, signifiant ainsi que toute personne utilisant le SSO devra ré-autoriser l’accès via le compte en question (le processus varie selon que l’on utilise Android ou iOS).
Qu’est-ce qui empêchera le retour des hackers ?
Après chaque violation de données, les entreprises promettent de renforcer la sécurité, sans expliquer ce que cela signifie réellement. Il n’est pas surprenant d’apprendre que Flipboard a fait de même :
Pour éviter que de telles situations ne se reproduisent, nous avons mis en place des mesures de sécurité renforcées et continuons de rechercher de nouveaux moyens de renforcer la sécurité de nos systèmes. Pour des raisons de sécurité, nous ne fournirons pas plus de détails ici.
Ce qui est inquiétant dans le cas de cette faille de sécurité, ce n’est pas tant le fait qu’elle ait eu lieu mais plus qu’elle n’ait pas été détectée pendant près de 10 mois, selon les investigations menées par Flipboard. Ce délai est plus que suffisamment pour que des pirates aient pu exploiter les données volées !
Pour plus d’informations et de conseils de la part de Flipboard, n’hésitez pas à consulter leur article à ce sujet.
Billet inspiré de Flipboard data breach – what users should do now Flipboard data breach – what users should do now, sur Sophos nakedsecurity.