Pourquoi l’affaire d’Evernote n’est pas un banal piratage de plus

Ce week-end, l’éditeur de l’outil de travail collaboratif Evernote (site web et applications pour Windows/Mac/iOS/Android) a annoncé avoir été la cible d’une attaque qu’il a qualifié de « sophistiquée » et demande, en conséquence, à ses 50 millions d’utilisateurs de changer leur mot de passe.

Evernote n’est pas un cas isolé. Pour mémoire les sites du New York Times, Tumblr, Yahoo, Facebook, Twitter, Sony, Google, LinkedIn, Hotmail et même le site de la NASA se sont fait pirater une partie des mots de passe - de quelques centaines ou quelques milliers, voire plusieurs millions - de leurs utilisateurs. Sauf que dans le cas d’Evernote, c’est 50 millions de mots de passe qui ne sont plus fiables ! C’est une première dans l’histoire du web. Et c’est aussi une limite qui vient d’être franchie.

Evernote a dû envoyer 50 millions d’emails ce week-end. Certains des utilisateurs n’ont toujours pas reçus cet email. Evernote est confronté à la limite technique des emails - cela prend du temps d’envoyer 50 millions d’emails. Pendant ce temps, les mots de passe de leurs utilisateurs ne sont plus fiables et ils ne le savent pas. Quand on sait que la grande majorité des utilisateurs utilisent un mot de passe « simple » pour plusieurs services, cela représente un vrai danger.

Les mesures de réactions et d’information classique sont désormais inefficaces sur des phénomènes d’une telle ampleur.

Mais que faire alors ?

Le temps où l’on pouvait gérer ses mots de passe manuellement est révolu.

Cette tendance oblige dorénavant les internautes à gérer leurs mots de passe et à les changer rapidement. Gérer ses mots de passe signifie définir un mot de passe différent et complexe pour chaque service ce qui est quasiment impossible sans utiliser des solutions logicielles telles que Dashlane, sauf à prendre un temps considérable à gérer cela manuellement.

Là encore, pour éviter de se faire piéger, de plus en plus d’internautes devront recourir à des services tiers pour être prévenus quasiment en temps réel. 66% des utilisateurs de Dashlane qui avaient un compte sur Evernote ont changé leur mot passe immédiatement après notre alerte diffusée quelques minutes après la connaissance de l’attaque. Et 50% d’entre eux ont fait cela avant samedi minuit, tandis que le mail d’Evernote n’a toujours pas été reçu par tous les utilisateurs.

Auteur : Emmanuel Schalit, CEO de Dashlane.