Deux chercheurs trouvent une faille de sécurité sur Dropbox
Permettant aux pirates d'accéder aux comptes des utilisateurs
Le 2013-08-31 12:36:35, par Cedric Chevalier, Expert éminent sénior
Des chercheurs révèlent avoir cassé la sécurité de Dropbox.
DropBox est une plateforme de stockage de données dans le Cloud, qui compte plus de 100 millions d’utilisateurs.
Le langage de programmation utilisé pour le développement du client DropBox est Python. Dhiru Kholia et Przemyslaw Wegrzyn ont effectué des travaux de recherche sur la plateforme.
D’après leurs travaux, le mécanisme d’authentification à deux facteurs n’est pas utilisé par les clients DropBox pour s’authentifier aux serveurs en ligne. Pour eux, ce dernier ne servirait qu’à protéger le site web de DropBox des accès non autorisés.
En effet, pour qu’un client DropBox se connecte à un serveur, il envoie à celui-ci deux paramètres invariables, dont la seule connaissance permet à un hacker de s’introduire dans le compte de sa victime.
Le premier paramètre est obtenu lorsque l’utilisateur s’enregistre au service en ligne. Le serveur lui retourne un identifiant (appelé Host_id) associé à son compte en ligne, que son client DropBox crypte et stocke ensuite en local sur son disque dur. Cet identifiant ne change pas même après que l’utilisateur ait modifié son mot de passe.
Le second paramètre est aussi un identifiant invariable (Host_int), que le serveur envoie au client pendant son démarrage sur le périphérique de l’utilisateur. Ce second paramètre peut être obtenu à partir des techniques d’écoute du réseau (attaque de l’homme du milieu).
Comment ont-ils fait pour arriver à une telle maîtrise du fonctionnement du client DropBox ? Les chercheurs ont utilisé le «reverse engineering» pour déchiffrer le bytecode crypté du client DropBox.
L’équipe de développement de DropBox a été mise au courant de la vulnérabilité trouvée. Cependant, ce qui donne l’intérêt aux travaux des chercheurs est que l’ensemble des outils et méthodes qu’ils ont utilisés est librement accessible et ils sont génériques. Autrement dit, ils pourraient aussi fonctionner sur des applications similaires au client DropBox.
Source : Rapport PDF
Et vous ?
DropBox est une plateforme de stockage de données dans le Cloud, qui compte plus de 100 millions d’utilisateurs.
Le langage de programmation utilisé pour le développement du client DropBox est Python. Dhiru Kholia et Przemyslaw Wegrzyn ont effectué des travaux de recherche sur la plateforme.
D’après leurs travaux, le mécanisme d’authentification à deux facteurs n’est pas utilisé par les clients DropBox pour s’authentifier aux serveurs en ligne. Pour eux, ce dernier ne servirait qu’à protéger le site web de DropBox des accès non autorisés.
En effet, pour qu’un client DropBox se connecte à un serveur, il envoie à celui-ci deux paramètres invariables, dont la seule connaissance permet à un hacker de s’introduire dans le compte de sa victime.
Le premier paramètre est obtenu lorsque l’utilisateur s’enregistre au service en ligne. Le serveur lui retourne un identifiant (appelé Host_id) associé à son compte en ligne, que son client DropBox crypte et stocke ensuite en local sur son disque dur. Cet identifiant ne change pas même après que l’utilisateur ait modifié son mot de passe.
Le second paramètre est aussi un identifiant invariable (Host_int), que le serveur envoie au client pendant son démarrage sur le périphérique de l’utilisateur. Ce second paramètre peut être obtenu à partir des techniques d’écoute du réseau (attaque de l’homme du milieu).
Comment ont-ils fait pour arriver à une telle maîtrise du fonctionnement du client DropBox ? Les chercheurs ont utilisé le «reverse engineering» pour déchiffrer le bytecode crypté du client DropBox.
L’équipe de développement de DropBox a été mise au courant de la vulnérabilité trouvée. Cependant, ce qui donne l’intérêt aux travaux des chercheurs est que l’ensemble des outils et méthodes qu’ils ont utilisés est librement accessible et ils sont génériques. Autrement dit, ils pourraient aussi fonctionner sur des applications similaires au client DropBox.
Source : Rapport PDF
Et vous ?
-
miky55Membre avertiQue le terme "faille" est abusif, pour compromettre un compte selon cette "faille" il faut un accès à une machine associée à un compte dropbox, c'est comme si on assimilait le fait qu'il soit possible de récupérer les mots de passe que stockent chrome et ie à une faille...le 31/08/2013 à 20:53
-
imikadoRédacteurMême si ce n'est pas une faille à proprement dite, ça rappel le fait qu'il faut sensibiliser sur l'authentification et la sécurité sur nos données stockées sur le "cloud"
La double authentification, comme google le propose avec google authentificator est une première bonne solution.le 31/08/2013 à 21:03 -
LinunixMembre confirméle 31/08/2013 à 21:53
-
potskyCandidat au ClubUne sur couche comme BoxCryptor par exemple dans Dropbox est indispensable de mon point de vue. Je regrette aujourd'hui que cette fonctionnalité ne soit pas intégrée de base dans Dropbox.
Une personne qui arriverait à cracker mon compte Dropbox aurait accès aujourd'hui à des fichiers cryptés en AES. Il ne serait guère plus avancé. Sauf pour les données des applications qui sont enregistrées en clair dans le répertoire Apps... Seul Dropbox pourrait fournir une solution pour crypter ces données.le 31/08/2013 à 22:13 -
transgohanExpert éminentEuh... J'ai l'impression d'avoir rêvé du futur...
Pourquoi ? Parce que j'ai déjà lu cette information il y a de celà plusieurs mois !le 31/08/2013 à 23:48 -
miky55Membre avertiLa double authentification existe déjà sur dropbox mais uniquement sur le site ou lorsque un nouvel appareil est associé au compte. L'activation permanente au niveau du client serai pas mal contraignant pour l'utilisateur...
De toute façon pour une sécurité optimale il est préférable de crypter toutes donnée sensible susceptible de transiter sur le cloud...le 01/09/2013 à 0:51 -
RaphAstronomeMembre actifLe problème c'est que si le chiffrement est intégré officiellement soit ils stockent la clé donc pas vraiment d’intérêt, soit il faut faire confiance à leur logiciel pour ne pas avoir de backdoor ou faille permettant de l'obtenir frauduleusement.Je regrette aujourd'hui que cette fonctionnalité ne soit pas intégrée de base dans Dropbox.
Si il y a aussi le partage entre plusieurs équipements (un peu le but de dropbox) où il faudrait du coup ce trimbaler la clé de manière sécurisée entre les différant équipements.
D'ailleurs je crois qu'ils utilisent effectivement un chiffrement du stockage de leur coté mais vu qu'ils conservent la clé ...
https://www.dropbox.com/help/27/frle 02/09/2013 à 15:57 -
gangsoleilModérateurIl y a du chiffrage, mais ils dechiffrent le contenu pour pouvoir le comparer, et ainsi ne garder qu'une unique copie pour tous les comptes (et donc economiser de la place disque).le 03/09/2013 à 9:59
-
frantzgacMembre actifMon avis est que quelque soit le système de sécurité, celui qui ne veut pas que ses documents soient profanés ne doit pas les mettre sur le cloud. Si vraiment on veut une sécurité quasi totale en dehors des attaques physiques il faut stocker ses fichiers sur un support non connecté.
Maintenant quoique un peu lourde une autre précaution consiste à stocker sur le cloud non pas ses documents mais un disque virtuel TrueCrypt qui les contient. Le système de chiffrement n'est sans doute pas parfait (au boulot les chercheurs !) mais il crée un obstacle supplémentaire.
Cela dit chapeau aux chercheurs. Ils sont payés par qui pour faire ces jolies découvertes au fait ?le 06/09/2013 à 12:44 -
MishulynaTraductriceZut, c'est que je craignais: faut que je me ballade avec mon disque dur externe... Et si jamais celui-ci tombe en panne?
Quelqu'un saurait me dire si LogMeIn est une solution plus fiable? Merci!le 06/09/2013 à 17:28