L'éditeur Evernote vient d'annoncer sur son blog la disponibilité de trois nouvelles fonctionnalités visant à renforcer la sécurité de son service de gestion de notes.
Authentification à deux facteurs
Suite à un piratage de grande envergure il y a deux mois, qui avait entrainé la réinitialisation du mot de passe de tous ses utilisateurs, Evernote avait annoncé qu'il proposerait la double authentification. Elle est finalement disponible, pour les bénéficiaires d'un compte Premium ou Business dans un premier temps. Les détenteurs d'un compte gratuit finiront par en profiter, mais dans un délai encore inconnu.Le principe est le même que chez d'autres prestataires de services en ligne, tel que nous l'avions détaillé pour Microsoft et Outlook.com. Pour s'authentifier, les utilisateurs combinent donc quelque chose qu'ils savent (leur mot de passe) et quelque chose qu'ils ont (leur téléphone mobile en l'occurrence). En plus de leurs identifiants, ils doivent ainsi saisir un code temporaire envoyé par SMS ou généré par l'application Google Authenticator.
Pour les applications tierces incompatibles avec la double authentification, les utilisateurs peuvent ici aussi générer des mots de passe à usage unique, qu'ils peuvent révoquer à tout moment.
Applications autorisées
L'un des objectifs d'Evernote est de permettre de prendre des notes à la volée. Il n'est donc pas question de réclamer une authentification à chaque lancement. En cas de perte ou de vol d'un appareil authentifié, un inconnu pouvait donc accéder au compte de son propriétaire.Evernote accueille enfin une liste d'applications autorisées, comme sur la plupart des services en ligne sérieux, de laquelle on peut révoquer un accès. Au lancement suivant, l'application révoquée réclamera à nouveau une authentification, à un ou deux facteurs en fonction des paramètres du compte.
Historique d'accès
Enfin, Evernote inaugure un historique d'accès, permettant comme son nom l'indique de consulter la liste des applications qui ont accédé au compte, sur quelle période, et depuis quelle adresse IP et quelle localisation. Cette liste est purement informative mais permet de prendre d'autres mesures en cas d'accès suspect (tel qu'un changement de mot de passe).Ces deux dernières fonctions sont accessibles à tous les utilisateurs dès aujourd'hui.