Cher utilisateur, chère utilisatrice,
Nous vous informons qu’un incident de sécurité s’est récemment produit concernant des données utilisateurs. Nous avons immédiatement pris les mesures nécessaires pour comprendre l’ampleur du problème, le résoudre et vous informer.
Nous tenons à vous communiquer de manière transparente, ce qui est arrivé, ce que nous avons découvert, ainsi que les mesures que nous avons prises pour résoudre cet incident.
Qu’est-il arrivé ?
Le 3 juin 2019, nous avons découvert un accès non autorisé à notre base de données. Celle-ci contient certaines informations de comptes d’utilisateurs, y compris des adresses email. Nous avons immédiatement réagi en enquêtant sur les faits et en prenant des mesures de sécurité adaptées.
De quelles informations s’agit-il ?
La base de données concernée est celle dans laquelle figurent votre pseudonyme d’auteur, votre mot de passe protégé par chiffrement et votre adresse email.
Les mots de passe sont protégés par une technique avancée permettant d’éviter leur stockage en clair. Elle rend leur déchiffrage très complexe. Nous utilisions la technique de chiffrement “SHA-1” pour les mots de passe. Depuis moins d’un mois, nous chiffrons les mots de passe avec l'algorithme “bcrypt”.
Les informations relatives aux coordonnées bancaires ne sont pas concernées, car nous ne les stockons pas dans notre base de données.
Les numéros de sécurité sociale (pour les utilisateurs ayant un contrat de Partenariat de Droits d’Auteur) ne sont pas non plus concernés.
Quelles mesures ont été prises ?
Par précaution, nous réinitialisons les mots de passe des comptes utilisateur, et ce même s’ils étaient déjà protégés par un système de chiffrement. Si vous n’y avez pas déjà été invité, vous devez changer votre mot de passe dès aujourd’hui.
D’autre part, nous avons alerté notre Déléguée à la Protection des données qui a saisi la Commission Nationale de l’Informatique et des Libertés (CNIL).
Nous avons réalisé un audit de sécurité de la plateforme et mis en place des mesures correctives pour renforcer nos systèmes de sécurité. Nous réfléchissons aux moyens supplémentaires pouvant renforcer au maximum nos systèmes.
Comment vous protéger ?
Vous pouvez continuer à utiliser votre blog et à publier vos articles sereinement, mais vous devrez obligatoirement changer votre mot de passe lors de votre prochaine connexion. Pour cela, cliquez sur votre avatar utilisateur en haut à droite de votre administration, puis sur Paramètres et Changer de mot de passe.
Par ailleurs, nous vous invitons à la plus grande vigilance si vous recevez un email qui vous semble être suspect ou susceptible d’être falsifié (tentative de phishing ou hameçonnage).
Nous regrettons vivement cet incident. Si vous souhaitez obtenir plus d’informations ou obtenir de l’aide, nous vous invitons à lire la foire aux questions ci-dessous.
Nous avons pris connaissance de cette attaque le 3 juin 2019.
Cette exposition provient d’une faille sur un outil que nous utilisons en interne. Elle a été depuis corrigée.
Il s’agit de notre base de données d’utilisateurs. Cette partie de la base comprend les données publiques enregistrées par les utilisateurs, c’est-à-dire : pseudonyme d’auteur, ville et description du blog. Les adresses email et les mots de passe protégés par chiffrement ont également été exposés.
Non. Vos données bancaires et de facturation (adresse, nom, prénom, numéro de carte bancaire) ne sont pas stockées dans notre base de données et ne sont donc pas exposées.
Vous devez impérativement mettre à jour votre mot de passe.
Pour cela, cliquez sur votre avatar utilisateur en haut à droite de votre administration, puis sur Paramètres et Changer de mot de passe.
Ces données subtilisées pourraient être utilisées pour des mailings d’hameçonnage (ou phishing) ou d’escroquerie. Nous vous invitons à la plus grande vigilance si vous recevez un email qui vous semble être susceptible d’être falsifié.
La plateforme reste fonctionnelle. Cet incident ne remet pas en cause sa fiabilité.