Vous utilisez Flipboard pour suivre l’actualité (par exemple pour profiter de Numerama à travers ses magazines thématiques) ? Sachez que le service vient de révoquer la totalité des mots de passe utilisés par ses membres après la découverte d’un incident de sécurité. Si ce n’est pas déjà fait, il vous faut donc en inventer un nouveau, car celui que vous aviez choisi a peut-être été compromis.
Il s’agit d’une application dédiée à l’actualité qui met en page les flux RSS, au look parfois austère, de façon à les transformer en de beaux magazines adaptés aux interfaces tactiles.
Flipboard a publié une foire aux questions détaillée, y compris en français, pour aborder les principaux points que recherche le public dans ce genre de situation. Ce qu’il faut retenir, c’est que l’entreprise américaine a repéré récemment un « accès non autorisé à certaines de [ses] bases de données contenant certaines informations de comptes d’utilisateurs ».
Cette intrusion s’est déroulée à deux dates différentes, selon les investigations de la société. L’une s’est déroulée sur une période de temps particulièrement longue, entre le 2 juin 2018 et le 23 mars 2019, tandis que l’autre a eu une fenêtre particulièrement resserrée, entre les 21 et 22 avril 2019. C’est en étudiant le premier incident, le 23 avril, que l’équipe a détecté la deuxième affaire.
Il ressort de cette enquête que certaines bases de données ont été exposées et que des données relatives à des internautes inscrits sur Flipboard ont été copiées. Cela concerne le nom de l’internaute, son pseudonyme sur Flipboard, son adresse de courrier électronique et même le mot de passe. Flipboard ne précise pas la proportion de sa communauté qui a été victime de cette intrusion.
Protection parfois insuffisante
Concernant le mot de passe, il faut savoir que celui-ci est en principe protégé dans la base de données par des techniques cryptographiques dites de hachage et salage. La première sert à transformer un mot de passe en une empreinte numérique (une suite de lettres et de chiffres d’une certaine taille), tandis que la seconde ajoute une chaîne unique de bits aléatoires pour chaque mot de passe.
Mais encore faut-il que l’algorithme soit au niveau pour assurer un bon degré de protection. Or, selon la date à laquelle le mot de passe a été inscrit dans la base de données (et s’il n’a pas été actualisé depuis), c’est une fonction de hachage cryptographique trop faible qui a pu être utilisée par Flipboard. En l’occurrence, l’algorithme SHA-1 si le mot de passe a été créé avant le 14 mars 2012 et jamais modifié depuis.
En effet, cette solution n’est plus jugée tout à fait sûre, surtout face à un adversaire qui disposerait de moyens importants pour parvenir à ses fins. L’utilisation de mécanismes cryptographiques impliquant SHA-1 « doit être abandonnée », juge ainsi le cyber-garde du corps de l’État, en commentant une nouvelle attaque sur la fonction de hachage SHA-1, surnommée SHAttered (un jeu de mot anglais avec Brisé).
La collision sur SHA-1 aboutit à produire une même empreinte numérique pour deux documents différents, alors qu’en principe, chaque document devrait avoir sa propre empreinte.
Depuis le 14 mars 2012, Flipboard a changé de fonction de hachage : il utilise bcrypt, qui est beaucoup plus robuste. Cette solution est recommandée pour le stockage des mots de passe par la Commission nationale de l’informatique et des libertés (CNIL). D’ailleurs, elle aussi classe SHA-1 dans la catégorie des algorithmes obsolètes. Flipboard en loue les vertus dans sa FAQ :
« Bcrypt est un mécanisme de hachage de mot de passe adaptatif qui utilise un algorithme cryptographique de chiffrement par bloc et d’autres fonctionnalités de sécurité, y compris de multiples cycles de calcul, et il offre donc une protection de haut niveau pour les mots de passe ». Il est à noter que cela n’a pas empêché les mots de passe d’être dérobés, mais ceux-ci demeurent chiffrés et inaccessibles.
C’est d’abord les membres qui sont inscrits de longue date sur Flipboard et qui ne se sont pas connectés à leur compte depuis le 14 mars 2012 qui sont les plus exposés, puisque les mots de passe traités par SHA-1 sont plus aisément récupérables. Si vous pensez être dans cette situation, vérifiez que le mot de passe utilisé sur Flipboard n’est pas employé sur un autre compte en ligne — vous risqueriez gros.
Déconnexion des services tiers
Dans le cas où vous vous connectiez à Flipboard via un outil tiers de connexion, comme Google, Facebook, Twitter ou Samsung, sachez que les mots de passe de ces plateformes ne sont pas compromis (ils ne sont pas stockés par Flipboard). Par contre, certains jetons numériques ont aussi été compromis, car ils étaient dans les bases de données prises pour cible. Ils ont donc été supprimés.
« Par précaution, nous avons remplacé ou supprimé tous les jetons numériques afin d’éliminer tout risque d’utilisation abusive », explique Flipboard. Ceux-ci servent à établir un lien unique entre deux comptes de l’internaute, l’un sur Flipboard, l’autre sur l’un des services partenaires, avec parfois à la clé des autorisations particulières, comme le droit d’écrire un commentaire ou d’afficher des informations.
il faudra donc recréer le jeton numérique pour rétablir le lien rompu.
La foire aux questions ajoute que Flipboard a tiré des enseignements de cet incident, en « renforçant [ses] mesures de sécurité », tandis que d’autres dispositions, non précisées, sont à l’étude. Il est également précisé qu’un signalement aux autorités a été effectué, sans beaucoup plus de précision. Le Règlement général sur la protection des données (RGPD) l’impose si des Européens sont concernés.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
