L’éditeur de littérature courte Short Éditions a rencontré un incident de sécurité sur ses systèmes informatiques le 26 juin 2021. Les données des utilisateurs ont été copiées et volées de leur base de données, notamment :

  • le nom et prénom des utilisateurs ;
  • le pseudo des utilisateurs ;
  • le numéro de téléphone des utilisateurs ;
  • la date de naissance des utilisateurs ;
  • le numéro IBAN et le code BIC du compte bancaire des utilisateurs ;
  • l’empreinte des mots de passe issue de la fonction de hachage SHA-1 et/ou SHA-256.

Les données communautaires, c’est-à-dire les abonnés et abonnements des utilisateurs, les commentaires des œuvres, les messages échangés entre les utilisateurs et les messages du forum ont été également supprimées.

La société a indiqué dans un communiqué qu’une cyberattaque de ses serveurs hébergés chez AWS (Amazon Web Services) est à l’origine de l’incident.

Les internautes qui ont eu un compte chez Short Éditions à la date du 26/06/2021 doivent donc considérer leurs données comme perdues. Ces données peuvent être acquises et utilisées par des tiers malintentionnés. Les mots de passe des internautes affectés par cet incident doivent aussi être considérés comme compromis et ne devraient plus être utilisés.

Le site HaveIBeenPwned permet de savoir si son compte a été affecté par cet incident.

Communiqué de Short Editions du 23/04/2021 :

« Les serveurs d’hébergement Amazon de Short Édition ont été victimes d’une cyberattaque.

Nous avons immédiatement coupé toute communication avec l’extérieur pour éviter un éventuel risque de propagation de l’incident.

Dans la foulée, nous avons mis en route les actions de défense nécessaires avec l’intervention de professionnels spécialistes de la cybersécurité pour l’identification des dommages causés. Enfin, nous avons déclenché les procédures de déclaration réglementaires auprès des autorités publiques compétentes (cyber-gendarmerie, CNIL) afin de préparer les suites judiciaires à donner à cet incident grave.

La cyberattaque dont nous avons été victimes a touché une partie de notre base de données et a provoqué des dommages sur les données de Short Édition, qu’il s’agisse de données de nos utilisateurs ou de données communautaires (discussions, votes, évaluations).

Toutefois les distributeurs connectés (Distributeurs d’Histoires Courtes et Cub’Édito) n’ont pas été impactés et continuent à fonctionner normalement, en mode déconnecté.

Notre équipe technique travaille avec énergie pour rassembler et restaurer notre base de données à partir de sauvegardes non touchées par l’attaque.

Short Édition détient très peu de données personnelles de la plupart de ses utilisateurs : une adresse email et un mot de passe, parfois un nom et un prénom.

Chez Short Édition, les mots de passe sont systématiquement encodés ce qui rend leur décryptage difficile. Les mots de passe courts et simples sont toutefois plus vulnérables.
À la suite de cet incident, nos experts nous confirment que, par mesure de précaution, il est nécessaire que tous ceux d’entre vous qui ont utilisé leur mot de passe Short Édition sur d’autres sites le changent sur ces sites.

Nous renforçons actuellement la sécurité de notre infrastructure informatique et un nouvel audit de sécurité - le dernier exercice de cybersécurité avait été réalisé en avril - est en cours dans le cadre des investigations sur les origines et les effets de cette cyberattaque. Ceci nous permettra de rouvrir notre site web dès que possible - avant la fin de la semaine -, dans des conditions de sécurité garanties pour ses utilisateurs et pour l’entreprise.

Nous travaillons pour vous permettre de revenir nous rendre visite l’esprit libre. Et pour nous permettre de continuer à remplir, avec vous, notre mission d’intérêt général de propulsion de la littérature courte, de promotion de la lecture et d’invitation bienveillante à l’écriture.

Soyez assurés que nous mettons tout en œuvre pour continuer à mériter votre confiance. »

— Communiqué du Président de Short Editions, Christophe Sibieude, 23/04/2021

Une page dédiée a aussi été mise en ligne.