Rappelez-vous quand Evernote a envoyé un message d’alerte dimanche dernier par e-mail à ses 50 millions d’utilisateurs concernant une faille de sécurité massive qui implique une éventuelle fuite de noms d’utilisateurs, des adresses e-mail ou encore des mots de passe. Pour corriger cette mésaventure de la vie privée, la plateforme de productivité a annoncé le correctif qu’ils ont l’intention d’employer le plus tôt possible : une double authentification.
Dans l’avertissement de dimanche dernier, Evernote a fait part de ses excuses pour le désagrément d’avoir à réinitialiser votre mot de passe, mais la firme « croit que cette simple étape se traduira par une expérience plus sûre sur Evernote ». L’enquête sur cette affaire a montré aucun signe sur l’accès à d’éventuels renseignements sur les informations de paiement des membres du service, mais elle révèle que les pirates responsables de l’attaque ont accédé à une liste de noms des utilisateurs Evernote Premium ou Evernote Business, ainsi que les adresses e-mails et les mots de passe, qui fort heureusement, sont « protégés par chiffrement à sens unique », dans des termes techniques, ils sont hashés et salés.
Selon Information Week, Evernote avait déjà pensé à mettre en place une authentification plus forte, notamment avec la mise en œuvre d’une double authentification pour ses utilisateurs plus tard cette année, mais en raison de la récente violation de données qu’elle a subi, ils ont décidé d’intensifier leurs efforts pour mettre au point leurs plans dès maintenant.
Quelle est exactement cette double authentification ? Comme l’explique Graham Cluley, consultant en technologie chez Sophos, à Information Week, c’est juste une mesure supplémentaire pour empêcher les hackers d’accéder à des mots de passe cryptés. Vous pouvez obtenir la double authentification par le biais d’un code unique qui est généré dans l’une des trois façons suivantes : par une application installée sur votre smartphone, via un SMS envoyé à votre téléphone, ou par un dispositif physique.
Des sociétés telles que Amazon Web Services, Dropbox, Facebook, Google ou encore Gmail, Microsoft, SkyDrive, PayPal, ainsi que divers sites Web, font usage d’un tel mécanisme.
Concrètement cela signifie que l’utilisateur du service, en plus de taper son traditionnel mot de passe, devra s’authentifier par un autre moyen, valable pour le temps d’une session.
Si ce système peut s’avérer au premier abord plus complexe, sachez qu’il a l’énorme avantage de sécuriser nos données, et cela n’a pas de prix, ni de temps !