En juillet 2012, après avoir mené une enquête suite aux plaintes de ses clients qui recevaient des spams depuis des adresses utilisées uniquement sur Dropbox, le fournisseur de solutions cloud a annoncé que « suite à notre enquête, nous avons découvert que des noms d’utilisateurs et des mots de passe, récemment volés sur d’autres sites web, ont été utilisés pour se connecter à quelques comptes Dropbox. Nous avons contacté les utilisateurs qui en ont fait les frais et les avons aidés à protéger leurs comptes ».Et de continuer en disant que « un mot de passe volé a été utilisé pour pénétrer le compte d’un employé Dropbox qui contenait un document projet avec des adresses mails utilisateur. Nous pensons que c’est cet accès qui a servi au vol ».
Il y a quelques jours, Dropbox a annoncé qu’il allait forcer la réinitialisation des mots de passe de certains utilisateurs liés au vol de 2012. Sur son site, l’entreprise prévient que « lors de votre prochaine visite sur dropbox.com, vous serez peut-être invité à créer un nouveau mot de passe. Nous demandons à titre préventif à certains utilisateurs Dropbox de modifier leur mot de passe ». Et d’expliquer que cette mesure concerne les utilisateurs de Dropbox qui ont créé un compte avant la mi-2012 et qui n’ont pas modifié leur mot de passe depuis la mi-2012.
Dropbox a expliqué que cette procédure de modification a été enclenchée parce que « nos équipes en charge de la sécurité effectuent une veille permanente des nouvelles menaces pour nos utilisateurs. Leurs efforts ont permis d'identifier d'anciennes informations d'identification Dropbox (combinaisons d'adresses e-mail et de mots de passe chiffrés) qui auraient été dérobées en 2012. Nos recherches donnent à penser que ces informations d'identification sont liées à un incident de sécurité que nous avions signalé à cette époque.
Nos méthodes de surveillance des menaces et notre mode de sécurisation des mots de passe nous donnent à penser qu'aucun compte n'a été la cible d'un accès non autorisé. Toutefois, à titre de précaution, nous demandons à tous les utilisateurs qui n'ont pas modifié leur mot de passe depuis mi-2012 de le faire lors de leur prochaine connexion ».
Mais combien de comptes au juste sont concernés par cette mesure ? Tout d’abord, il convient de rappeler que la base utilisateurs de Dropbox avant la mi-2012 était de moins de 100 millions, ce qui fait donc un nombre de potentielles victimes assez important. De plus, Motherboard a affirmé avoir mis la main sur quatre fichiers contenant les adresses mails ainsi que les mots de passe hashés issus de cette intrusion qui circule actuellement sur le moteur de recherche de HaveIBeenPwned. Motherboard indique « qu’au total, les quatre fichiers pesaient autour de 5 Go et contenaient des informations sur 68 680 741 comptes ».
Selon un employé senior chez Dropbox, ces informations sont légitimes. Troy Hunt, un expert en sécurité de renom qui possède également un compte Dropbox, a pu vérifier l’authenticité du fichier pour son propre compte ainsi que celui de sa femme. D’autres personnes ont également pu vérifier l’authenticité du fichier pour leurs comptes personnels sur Dropbox.
Patrick Heim, chargé de la sécurité chez Dropbox, a tout de même précisé que ces informations, qui ne concernent que les utilisateurs inscrits avant mi-2012, « ne sont pas plus utilisables qu’auparavant. Cependant, par précaution, Dropbox a demandé à tous les utilisateurs concernés de mettre à jour leur mot de passe pour ceux qui ne l'avaient pas fait depuis 2012. Dropbox confirme qu’à ce jour aucun compte n’a fait l’objet d'accès frauduleux ».
Dropbox encourage l’amélioration de la sécurité de ses utilisateurs en les invitant notamment à :
- se servir de l’authentification à deux facteurs ;
- se servir de mécanismes automatisés pour identifier des activités suspectes ;
- se servir de sa page dédiée qui leur permet d’examiner tous les logins actifs de leurs comptes.
Source : Dropbox (juillet 2012), Dropbox (centre d'assistance), Motherboard, Troy Hunt
Voir aussi :
Dropbox obtient un brevet pour un système de synchronisation basé sur le P2P, pour rivaliser avec la vitesse de transfert proposée par BitTorrent Sync Dropbox annonce l'abandon de Mailbox et Carousel, les mesures entrent en vigueur respectivement en février et mars 2016