Sur Pastebin, un usager affirme avoir piraté 7 millions de comptes sur Dropbox. Le service d’hébergement à distance dément avoir été compromis. Pourtant, certains comptes seraient effectivement vulnérables malgré tout. Explications.
6 937 081. C’est le nombre de comptes qui auraient été compromis sur Dropbox, selon un document publié ce lundi sur Pastebin. L’auteur présumé du piratage n’a pas publié la liste complète des comptes concernés par cet incident, mais seulement une petite sélection de 405 exemples. À chaque fois, la combinaison « adresse électronique plus mot de passe » est indiquée.
Des usagers sur Reddit qui se sont penchés sur la véracité du document ont constaté que certaines associations fonctionnent sur Dropbox. Impossible en revanche de savoir si les 6 936 676 cas restants existent bel et bien, dans la mesure où l’auteur du document sur Pastebin conditionne les prochaines révélations à des dons en Bitcoins.
Dropbox dément tout piratage
De son côté, Dropbox a publié un article sur son blog pour calmer le jeu. « De récents articles de presse affirmant que Dropbox a été piraté sont inexacts. Vos contenus sont en sécurité. Les identifiants et les mots de passe mentionnés dans ces articles ont été dérobés depuis des services indépendants, pas auprès de Dropbox« .
« Les auteurs de l’attaque ont ensuite utilisé ces combinaisons pour essayer de se connecter à d’autres sites sur le web, dont Dropbox. Nous avons pris des dispositions pour détecter toute activité de connexion suspecte et nous réinitialisons automatiquement le mot de passe lorsque cela survient« , poursuit le spécialiste de l’hébergement à distance.
Une compromission indirecte
En résumé, le service fourni par Dropbox n’a pas été directement compromis. En revanche, les internautes qui ont l’habitude d’utiliser systématiquement le même mot de passe à chaque fois qu’ils ouvrent un nouveau compte en ligne devraient changer sans tarder de mot de passe sur Dropbox, car leur compte n’est pas en sécurité.
Si un pirate réussit à récupérer des identifiants et des mots de passe sur un autre site ayant un niveau de sécurité moins élevé que celui de Dropbox, l’hébergeur en ligne ne pourra pas faire grand chose. En effet, dans la mesure où les usagers utilisent souvent un seul et même mot de passe, il suffit de le récupérer une fois sur un site peu protégé pour que tous les autres profils soient vulnérables.
Des parades existent
Des parades existent, heureusement. D’abord, l’utilisateur doit absolument faire l’effort de choisir un mot de passe différent par service. Et chaque nouveau mot de passe doit être suffisamment long et mélanger de multiples caractères (lettres, chiffres, symboles). Ils ne doivent pas non plus avoir de sens (il ne faut pas choisir un mot pour éviter les attaques par dictionnaire, par exemple).
Ensuite, il est recommandé d’activer l’authentification forte lorsqu’elle est disponible. Dropbox propose cette sécurité. Quand les utilisateurs s’identifient auprès du site, ils doivent d’abord rentrer leur mot de passe puis demander l’envoi d’un code secret par SMS ou le générer sur une application mobile, via un smartphone qui aura été préalablement associé au compte.