Pour gérer vos consentements :
Categories: Mobilité

Dropbox englué dans une curieuse affaire de piratage

Après plusieurs semaines d’enquête, Dropbox se déclare victime collatérale d’actes de piratage et fait son mea culpa auprès d’utilisateurs dont les comptes ont été compromis.

Pour autant, il subsiste bien des zones d’ombre. Le doute perdure non seulement concernant le réel niveau de sécurité en vigueur, mais aussi et surtout quant à la sincérité de ce grand pardon.

Aux origines de l’affaire, de nombreux courriels de protestation reçus à répétition courant juin. Il y était quasi systématiquement fait mention, par des expéditeurs tous inscrits sur Dropbox, de la réception d’une quantité anormale de spams.

Se sont alors fait jour des soupçons de piratage qu’ont confirmés les investigations amorcées dans la foulée.

Des individus malintentionnés, non identifiés, ont récupéré, sait-on où, les identifiants de connexion d’un petit nombre d’utilisateurs.

Mais le principal méfait réside en l’effraction du compte d’un employé de la société Dropbox.

Ce qui aurait ouvert l’accès à une importante liste d’adresses mail vraisemblablement stockée en clair dans le cadre d’un projet d’entreprise. Une aubaine pour les spammeurs.

Toutes les victimes présumées se sont vu adresser un mail les invitant à réinitialiser leur mot de passe et à suivre une procédure additionnelle pour « renforcer la sécurité de leurs comptes« .

Dropbox annonce en parallèle l’adoption imminente de nouvelles mesures, tout particulièrement une méthode de double authentification : en plus du mot de passe, il s’agirait par exemple de saisir un code envoyé sur un téléphone.

En outre, un onglet « Sécurité » fait son apparition sur l’interface Web. Y est dressé un historique des accès avec les identifiants des machines, le pays et la date de la dernière connexion.

Ultime recommandation : changer régulièrement de mot de passe et en utiliser un différent pour chaque site, à l’appui d’un gestionnaire centralisé tels LastPass ou 1Password.

Si ces résolutions ont suscité des réactions mitigées, il n’en est rien en rapport à cette liberté que s’est accordée Dropbox : réinitialiser sans préavis les mots de passe jugés trop élémentaires.

Le mail de notification corrélatif est parfois passé inaperçu, logé dans le dossier des spams. Nombre d’utilisateurs n’ont pas compris pourquoi ils ne pouvaient plus se connecter.

Les critiques ont plu, notamment de la part des développeurs : plutôt que d’incriminer l’internaute, pourquoi ne pas recourir, côté serveur, à un système de hashs ? Où opter pour l’identification via un compte Google ? Où encore ajouter dans l’historique des accès les IP des machines ?

Crédit image : © Nabil BIYAHMADINE – Fotolia.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago