Dropbox englué dans une curieuse affaire de piratage

Après plusieurs semaines d’enquête, Dropbox se déclare victime collatérale d’actes de piratage et fait son mea culpa auprès d’utilisateurs dont les comptes ont été compromis.

Pour autant, il subsiste bien des zones d’ombre. Le doute perdure non seulement concernant le réel niveau de sécurité en vigueur, mais aussi et surtout quant à la sincérité de ce grand pardon.

Aux origines de l’affaire, de nombreux courriels de protestation reçus à répétition courant juin. Il y était quasi systématiquement fait mention, par des expéditeurs tous inscrits sur Dropbox, de la réception d’une quantité anormale de spams.

Se sont alors fait jour des soupçons de piratage qu’ont confirmés les investigations amorcées dans la foulée.

Des individus malintentionnés, non identifiés, ont récupéré, sait-on où, les identifiants de connexion d’un petit nombre d’utilisateurs.

Mais le principal méfait réside en l’effraction du compte d’un employé de la société Dropbox.

Ce qui aurait ouvert l’accès à une importante liste d’adresses mail vraisemblablement stockée en clair dans le cadre d’un projet d’entreprise. Une aubaine pour les spammeurs.

Toutes les victimes présumées se sont vu adresser un mail les invitant à réinitialiser leur mot de passe et à suivre une procédure additionnelle pour « renforcer la sécurité de leurs comptes« .

Dropbox annonce en parallèle l’adoption imminente de nouvelles mesures, tout particulièrement une méthode de double authentification : en plus du mot de passe, il s’agirait par exemple de saisir un code envoyé sur un téléphone.

En outre, un onglet « Sécurité » fait son apparition sur l’interface Web. Y est dressé un historique des accès avec les identifiants des machines, le pays et la date de la dernière connexion.

Ultime recommandation : changer régulièrement de mot de passe et en utiliser un différent pour chaque site, à l’appui d’un gestionnaire centralisé tels LastPass ou 1Password.

Si ces résolutions ont suscité des réactions mitigées, il n’en est rien en rapport à cette liberté que s’est accordée Dropbox : réinitialiser sans préavis les mots de passe jugés trop élémentaires.

Le mail de notification corrélatif est parfois passé inaperçu, logé dans le dossier des spams. Nombre d’utilisateurs n’ont pas compris pourquoi ils ne pouvaient plus se connecter.

Les critiques ont plu, notamment de la part des développeurs : plutôt que d’incriminer l’internaute, pourquoi ne pas recourir, côté serveur, à un système de hashs ? Où opter pour l’identification via un compte Google ? Où encore ajouter dans l’historique des accès les IP des machines ?

Crédit image : © Nabil BIYAHMADINE – Fotolia.com