Mis à jour le 28 mai 2019

 

Flipboard a récemment relevé et géré un incident de sécurité concernant les données d’un sous-ensemble de données utilisateur. Nous savons que la transparence est un facteur essentiel pour les membres de notre communauté, et nous avons créé cette page Internet pour expliquer ce que nous avons découvert pendant notre enquête, les mesures que nous avons prises, et ce que les utilisateurs peuvent faire en réponse à cet incident.

 

Que s’est-il passé ?

Nous avons récemment découvert un accès non autorisé à certaines de nos bases de données contenant certaines informations de comptes d’utilisateurs de Flipboard, y compris des identifiants d’accès. Nous avons immédiatement lancé une enquête, et une firme de sécurité externe a été engagée pour nous aider. Les résultats de cette enquête ont révélé qu’entre le 2 juin 2018 et le 23 mars 2019, et aussi les 21 et 22 avril 2019, une personne non autorisée a accédé à certaines bases de données et potentiellement copié des informations relatives à certains utilisateurs de Flipboard.

 

Quelles informations sont concernées ?

Les bases de données concernées par cet incident contenaient les données des comptes de certains de nos utilisateurs, y compris leurs nom, pseudonyme Flipboard, mot de passe protégé par cryptographie et adresse mail.

Flipboard a toujours cryptographiquement protégé les mots de passe à l’aide d’une technique bien connue des experts en sécurité qui s’appelle le « hachage salé » (salted hashing). L’avantage de cette technique est que nous n’avons jamais besoin de stocker les mots de passe en texte brut. En outre, le fait d’utiliser un sel unique pour chaque mot de passe en combinaison avec des algorithmes de hachage rend très difficile de déchiffrer les mots de passe et nécessite des ressources informatiques significatives. Si un utilisateur a créé ou modifié son mot de passe après le 14 mars 2012, ce dernier a été haché à l’aide d’une fonction appelée bcrypt. Si un utilisateur n’a pas changé son mot de passe depuis cette date, ce dernier a uniquement été salé et haché à l’aide de SHA-1.

En outre, si un utilisateur a connecté son compte Flipboard à un compte tiers, y compris des comptes sur des médias sociaux, sachez que certaines bases de données contiennent des jetons numériques utilisés pour connecter son compte Flipboard à ce compte tiers. Nous n’avons découvert aucun élément démontrant que la personne non autorisée qui est à l’origine de cet incident a accédé à un ou à plusieurs comptes tiers connectés à des comptes d’utilisateurs Flipboard. Néanmoins, par mesure de précaution, nous avons remplacé ou supprimé tous les jetons numériques

Il est important de noter que nous ne demandons jamais à nos utilisateurs de nous fournir des informations personnelles. Cet incident ne concerne aucuns numéros de sécurité sociale ou autres numéros d’identité fournis par une administration publique, ni aucuns numéros de compte bancaire, de carte de crédit ou autres informations financières.

 

Quelles mesures avons-nous prises ?

Par précaution, nous avons réinitialisé tous les mots de passe de nos utilisateurs, même s’ils étaient déjà cryptographiquement protégés et même si les informations de certains utilisateurs ne sont pas concernées par cet incident. Par ailleurs, sachez que vous pouvez continuer à utiliser Flipboard sur les appareils à partir desquels vous êtes déjà connecté(e) à Flipboard. Si vous décidez d’utiliser Flipboard à partir d’un nouvel appareil, ou la prochaine fois que vous vous connectez à Flipboard après vous être déconnecté(e) de votre compte, il vous sera demandé de créer un nouveau mot de passe.

Par précaution supplémentaire, nous avons déconnecté les jetons utilisés pour se connecter à tous les comptes tiers, et, en collaboration avec nos partenaires, nous avons remplacé tous les jetons numériques, ou les avons supprimés le cas échéant.

En outre, afin d’éviter que ce type d’incident ne se reproduise, nous avons renforcé nos mesures de sécurité, et continuons à réfléchir afin de déterminer quels moyens supplémentaires pourraient nous permettre de renforcer la sécurité de nos systèmes. Nous avons également notifié les autorités concernant cet incident.

 

Ce que vous pouvez faire

Vous pouvez continuer à utiliser Flipboard sans rien faire d’autre. Cependant, la prochaine fois que vous vous connecterez à votre compte, vous remarquerez qu’il vous est demandé de mettre à jour le mot de passe de votre compte Flipboard. Vous trouverez des instructions à ce sujet sur notre page d’assistance (voir lien ci-dessous), où il est expliqué comment créer un nouveau mot de passe. Si vous utilisez ce nom d’utilisateur et ce mot de passe à la fois pour Flipboard et pour un autre service en ligne, quel qu’il soit, nous vous recommandons de changer votre mot de passe pour cet autre service également.

Si vous avez connecté votre compte Flipboard à un compte tiers pour voir son contenu, vous remarquerez, dans certains cas, que vous devez le reconnecter à ce compte tiers. Vous trouverez également des instructions à ce sujet sur notre page d’assistance.

 

Où trouver davantage de renseignements ?

Nous regrettons vivement cet incident. Pour vous fournir davantage de renseignements à ce sujet, nous avons créé une Foire aux questions concernant cet incident, qui figure ci-après. Si vous avez besoin d’une assistance supplémentaire, veuillez cliquer sur Nous contacter sur la page de notre Centre d’assistance.

 

===

FOIRE AUX QUESTIONS

 

Mes informations d’utilisateur Flipboard sont-elles concernées par cet incident ?

Seuls certains comptes Flipboard sont concernés par cet incident. Nous sommes en train de déterminer lesquels, et, par précaution, nous avons réinitialisé les mots de passe de tous nos utilisateurs et remplacé ou supprimé tous les jetons numériques.

 

Quelles informations sont concernées par cet incident?

Les informations suivantes figurent dans la base de données concernée :

• Des noms d’utilisateur ;

• Des mots de passe hachés et uniquement salés ; et

• Pour certains utilisateurs Flipboard, leur adresse électronique et les jetons numériques qui lient des comptes tiers à leur compte d’utilisateur Flipboard.

La grande majorité des mots de passe ont été hachés à l’aide de l’utilitaire bcrypt. Pour les utilisateurs de Flipboard qui ne se sont pas connectés à leur compte depuis le 14 mars 2012, leur mot de passe est désormais protégé grâce à SHA-1 et uniquement salé.

Si vous aviez connecté votre compte Flipboard à un compte tiers, y compris un compte sur des réseaux sociaux, alors les bases de données concernées par cet incident pourraient contenir des jetons numériques utilisés pour connecter votre compte Flipboard à ces comptes tiers. Par précaution, nous avons remplacé ou supprimé tous les jetons numériques afin d’éliminer tout risque d’utilisation abusive.

Sachez que Flipboard ne collecte aucune information auprès de ses utilisateurs, et cet incident ne concerne aucun identifiant délivré par une administration publique (tels que des numéros de sécurité sociale ou de permis de conduire), ni aucun numéro de carte de paiement ou de compte bancaire ou autre information financière.

 

Qu’avez-vous fait pour empêcher que cet incident ne se reproduise ?

Pour empêcher qu’un tel incident ne se reproduise, nous avons mis en place des mesures de sécurité renforcées et continuons de rechercher de nouveaux moyens de renforcer la sécurité de nos systèmes. Pour des raisons de sécurité, nous ne pouvons pas vous en dire plus.

 

Qu’est-ce qu’un mot de passe haché ?

Lorsqu’un mot de passe est haché, il est transformé en une chaîne de caractères d’apparence aléatoire au moyen d’algorithmes cryptographiques. Il s’agit d’une fonction à sens unique qui ne peut pas être déchiffrée à l’aide d’une clé spécifique. L’avantage du hachage des mots de passe est que nous n’avons jamais besoin de les stocker sous forme de texte brut. De plus, l’utilisation d’un sel unique pour chaque mot de passe en combinaison avec des algorithmes de hachage rend très difficile de déchiffrer ces mots de passe et nécessite des ressources informatiques importantes.

 

Qu’est ce que « bcrypt » ?

Bcrypt est un mécanisme de hachage de mot de passe adaptatif qui utilise un algorithme cryptographique de chiffrement par bloc et d’autres fonctionnalités de sécurité, y compris de multiples cycles de calcul, et il offre donc une protection de haut niveau pour les mots de passe.

 

Qu’est-ce que le salage des mots de passe ?

Ajouter un « sel » à un mot de passe haché fournit une protection supplémentaire, en particulier contre les attaques par force brute. Les sels Flipboard employés étaient spécifiques à chaque utilisateur.

 

Qu’est-ce qu’un jeton numérique ?

Les utilisateurs de Flipboard peuvent connecter leurs comptes Flipboard à des comptes tiers, y compris des comptes sur les réseaux sociaux et des comptes d’éditeur. Lorsqu’un utilisateur crée une telle connexion, un jeton numérique est généré et celui-ci établit un lien unique entre le compte Flipboard de l’utilisateur et son compte sur le média social concerné, ce qui permet de voir des contenus affichés sur ces comptes tiers à partir du compte Flipboard. Dans certains cas, cela permet également à l’utilisateur de commenter ou de faire suivre ou transférer des articles affichés sur Flipboard vers ces comptes tiers. Flipboard a remplacé ou supprimé tous les jetons numériques de ses utilisateurs car certains d’entre eux étaient contenus dans les bases de données concernées par cet incident, et les utilisateurs de Flipboard pourraient donc avoir besoin de s’authentifier de nouveau auprès de leur compte Flipboard ou de s’y reconnecter afin qu’un nouveau jeton numérique soit généré et être en mesure de consulter de nouveau le contenu de leur compte.

 

Quand avez-vous découvert cette intrusion ?

Le 23 avril 2019, notre équipe d’ingénieurs a remarqué une activité non autorisée survenue les 21 et 22 avril 2019, et ce alors que nous enquêtions sur une activité suspecte survenue un peu plus tôt, le 23 mars 2019.

 

Comment avez-vous découvert cette intrusion ?

Notre équipe d’ingénieurs a été informée de l’incident après avoir remarqué une activité suspecte dans l’environnement où résident les bases de données.

 

Tous les comptes utilisateurs Flipboard sont-ils concernés ?

Non, certains comptes d’utilisateur Flipboard ne sont pas concernés par cet incident. Cependant, par précaution, nous avons réinitialisés les mots de passe de tous nos utilisateurs. Si vous avez un compte Flipboard, Flipboard vous a envoyé un avis à ce sujet à l’adresse électronique associée à votre compte et qui disait, dans la ligne d’objet : « Flipboard Security Notice » (Avis de sécurité Flipboard).

 

Combien de comptes sont concernés ?

Nous sommes en train de déterminer le nombre total de comptes concernés, mais nous savons déjà que certains comptes n’ont pas été compromis.

 

Si j’utilise Twitter / Google / Samsung / Facebook pour me connecter à mon compte Flipboard, puis-je continuer à le faire ? Dois-je réinitialiser mon mot de passe ?

Si vous utilisez Twitter / Google / Samsung / Facebook pour vous connecter à votre compte Flipboard, vous pouvez continuer à le faire. Vos mots de passe pour ces comptes ne sont pas stockés dans notre base de données, et nous avons fait pivoter les jetons numériques.

 

Avez-vous signalé cet incident aux autorités ?

Oui, nous avons informé les autorités.

 

Si mes données font partie des données concernées par cet incident, à quels risques suis-je exposé ? Mon identité pourrait-elle être volée ?

Flipboard ne collecte aucune information auprès de ses utilisateurs, et cet incident ne concerne aucune information personnelle confidentielle, telles que des identifiants délivrés par une administration publique (numéros de sécurité sociale ou de permis de conduire, par exemple), un numéro de carte de paiement, un numéro de compte bancaire ou toute autre information financière.

Par précaution, si vous utilisez votre mot de passe Flipboard pour d’autres comptes, nous vous recommandons de le modifier. Il vous est conseillé de modifier régulièrement tous vos mots de passe, et de ne pas utiliser le même mot de passe ou des mots de passe similaires pour différents comptes en ligne.

 

Les jetons numériques peuvent-ils être utilisés pour accéder à mes comptes tiers ?

Flipboard a remplacé ou supprimé tous les jetons numériques. Les anciens jetons ne sont donc plus valides et ne peuvent pas être utilisés à mauvais escient. Veuillez noter que, avant que les jetons numériques n’aient été remplacés ou supprimés, l’accès que cette personne non autorisée a pu avoir à tout compte tiers lié à un compte Flipboard dépend du type de compte lié, ainsi que des autorisations spécifiquement accordées par l’utilisateur au moment où il a établi un tel lien entre le compte tiers et son compte Flipboard. Cela signifie que l’utilisateur pourrait ainsi avoir permis à une personne non autorisée de lire ou de publier des messages sur le compte en question et d’accéder à certaines informations, telles que son nom d’utilisateur, les informations figurant dans son profil, ses publications sur le site et ses connexions. Dans certains cas, la personne non autorisée pouvait également modifier ces informations, par exemple en invitant de nouvelles personnes à se connecter. Nous n’avons trouvé aucune preuve que la personne non autorisée qui est à l’origine de cet incident a accédé à un/des compte(s) tiers connecté(s) à vos comptes Flipboard.

 

Est-il prudent de continuer à utiliser mon compte Flipboard ?

Oui. Nous avons réinitialisé les mots de passe de tous nos utilisateurs et supprimé tous les jetons numériques associés aux comptes de nos utilisateurs, afin que vous puissiez continuer à utiliser Flipboard en toute sécurité.

Lorsque vous vous connecterez à votre compte Flipboard, vous remarquerez que votre mot de passe n’est plus valable. Si vous utilisez une adresse mail pour vous connecter à votre compte Flipboard, nous vous avons envoyé un mail d’instructions pour créer un nouveau mot de passe, et pour rétablir la connexion entre votre compte Flipboard et vos comptes sur les réseaux sociaux.

Si vous utilisez votre compte Twitter, Facebook, Samsung ou Google pour accéder à votre compte Flipboard, sachez que la procédure de connexion demeure parfaitement sécurisée et qu’aucun changement de mot de passe n’est requis.

 

Comment réinitialiser mon mot de passe ?

Sur Internet, vous pouvez réinitialiser votre mot de passe à l’adresse https://accounts.flipboard.com/. Veuillez noter que, pour réinitialiser votre mot de passe, vous devez avoir accès à l’adresse mail associée à votre compte Flipboard.

Si vous êtes sur votre appareil mobile, veuillez procéder comme suit dans l’application Flipboard :

Sur un téléphone Android :

1. Sur la page de connexion, sélectionnez « Commencer », puis « Connexion » dans le coin supérieur droit.

2. Sélectionnez « Mail », puis tapez l’adresse mail associée à votre compte Flipboard.

3. Sélectionnez « Nom d’utilisateur ou mot de passe oublié ? » pour ouvrir la page intitulée « Assistance concernant votre compte » ;

4. Sélectionnez « Mot de passe oublié ? »

5. Tapez l’adresse mail associée à votre compte Flipboard.

6. Appuyez sur « Envoyer ».

Sur un téléphone Apple :

1. Sur la page de connexion, sélectionnez « Connexion » dans le coin supérieur droit, puis « Se connecter avec une adresse mail ».

2. Sélectionnez « Mot de passe oublié ? » pour ouvrir la page intitulée « Assistance concernant votre compte ».

3. Sélectionnez « Mot de passe oublié ? ».

4. Tapez l’adresse mail associée à votre compte Flipboard.

5. Appuyez sur « Envoyer ».

Sur un iPad Apple :

1. Commencez par sélectionner « Vous avez déjà un compte ? », puis « Connexion ».

2. Sélectionnez « Besoin d’aide ? » pour ouvrir la page intitulée « Assistance concernant votre compte ».

3. Sélectionnez « Mot de passe oublié ? ».

4. Tapez l’adresse mail associée à votre compte Flipboard.

5. Appuyez sur « Envoyer ».

Sur une tablette Android :

1. Commencez par sélectionner « Compte existant ? », puis « Connexion ».

2. Sélectionnez « Mail », puis tapez l’adresse mail associée à votre compte Flipboard.

3. Sélectionnez « Nom d’utilisateur ou mot de passe oublié ? » pour ouvrir la page intitulée « Assistance concernant votre compte ».

4. Sélectionnez « Mot de passe oublié ? ».

5. Tapez l’adresse mail associée à votre compte Flipboard.

6. Appuyez sur « Envoyer ».

Assurez-vous de réinitialiser très rapidement votre mot de passe car le lien va expirer après un certain temps. Si le lien de réinitialisation de votre mot de passe ne fonctionne plus, renvoyez un mail de réinitialisation de votre mot de passe. Afin de bien protéger votre compte, nous vous recommandons de modifier de temps en temps votre mot de passe.

Si vous avez besoin d’aide supplémentaire, sélectionnez « Contactez-nous » sur la page intitulée « Assistance concernant votre compte », ou envoyez-nous un mail en cliquant ici.

 

Comment faire pour rétablir la connexion entre mon compte Flipboard et mes comptes sociaux ?

Flipboard a remplacé ou supprimé tous les jetons numériques de ses utilisateurs car certains d’entre eux étaient contenus dans les bases de données visées par cet incident de sécurité. Dans la majorité des cas, cela n’affectera aucunement votre accès, mais néanmoins vous devrez peut-être rétablir la connexion pour afficher les contenus.

Voici comment reconnecter un compte social à votre compte Flipboard sous iOS :

1. Appuyez sur l’onglet « Suivre ».

2. Sélectionnez « Comptes ».

3. Sélectionnez le service que vous souhaitez reconnecter à votre compte Flipboard.

4. Tapez les informations que vous utilisez pour vous connecter à votre compte social.

Remarque : sur un iPad, appuyez sur le « Ruban rouge », puis sélectionnez « Suivre » et ensuite « Comptes ».

Voici comment reconnecter un compte social à votre compte Flipboard sous Android :

1. Appuyez sur l’onglet « Profil ».

2. Appuyez sur « Paramètres ».

3. Sélectionnez « Comptes ».

4. Sélectionnez le service que vous souhaitez reconnecter à votre compte Flipboard.

5. Tapez les informations que vous utilisez pour vous connecter à votre compte social.

Remarque : sur une tablette Android, ouvrez la page de votre profil, appuyez sur « Paramètres » et ensuite sélectionnez « Comptes ».

Vous avez ainsi réactualisé la connexion à votre compte social et vous pouvez recommencer à l’utiliser normalement.

Si vous avez besoin d’aide supplémentaire, sélectionnez « Nous contacter » sur la page de notre « Centre d’assistance ».

 

Dois-je également réinitialiser les mots de passe pour mes autres comptes ?

Votre mot de passe Flipboard était protégé par cryptographie. Cependant, par précaution supplémentaire, nous vous recommandons de changer votre mot de passe sur tout autre site ou compte pour lequel vous utilisez le même identifiant de connexion et/ou le même mot de passe. Notez qu’il est recommandé d’utiliser un mot de passe différent pour chaque service.

 

Comment être certain que le mail de notification que j’ai reçu provient bien de Flipboard ?

Il est effectivement important que vous soyez confiant que l’avis électronique que vous pourriez recevoir concernant cet incident provient bien de Flipboard. Notez que ce mail sera expédié à partir de l’adresse suivante : security-notification@flipboard.com. Notez également qu’il arrive que, lorsque d’autres sociétés envoient des avis de sécurité comme celui-ci, certaines personnes les utilisent pour encourager le destinataire à fournir des informations à caractère personnel, ce en incluant des liens menant à des sites Internet factices (ce que l’on appelle l’ « hameçonnage »), ou en se faisant passer pour quelqu’un à qui vous faites confiance (ingénierie sociale). Veuillez noter que le mail que vous pourriez recevoir de notre part ne contiendra aucune pièce jointe et ne vous demandera aucune information, et tout lien figurant dans ce mail vous ramènera à la page Internet que vous regardez en ce moment.