Dropbox : alerte sécurité, des mots de passe sont dans la nature !

Attention, c’est une information importante, de nombreux mots de passe rattachés à des comptes Dropbox seraient dans la nature. Le votre fait peut-être partie du lot et, si c’est le cas, alors il y a de fortes chances que vous ayez reçu un message de la part de la société, message vous invitant à réinitialiser votre mot de passe pour que votre compte soit de nouveau protégé. Autant le dire clairement, il va falloir agir vite, mais on notera tout de même que Dropbox a été très prompt à se rendre compte de ce vol de données. Mieux, le service va déployer de nouvelles fonctionnalités pour nous aider à mieux sécuriser notre compte et l’une de ces dernières est même déjà disponible…

L’origine de ce vol de mot de passe

La première question que nous pouvons nous poser, bien sûr, c’est de savoir ce qui s’est véritablement passé et, plus précisément, comment nos mots de passe se sont retrouvés dans la poche de vilains pirates. Le message envoyé par Dropbox à ses abonnés (message dont vous trouverez une copie à la fin de l’article) nous donne déjà quelques éléments de réponse, il révèle ainsi que ces mots de passe n’auraient pas été volés sur les serveurs même de Dropbox. Non, en réalité, ce sont d’autres sites, d’autres services web, qui auraient été piratés. Il faut avouer que ces derniers mois ont été franchement chargés question piratage, la plupart des grands noms du web se sont effectivement fait avoir, ça a ainsi été le cas de Twitter en mai dernier ou encore de LinkedIn un peu plus tôt dans l’été.

Et ce n’est pas tout. Ce que l’on sait aussi, c’est que ces fameux pirates seraient même parvenus à mettre la main sur les identifiants d’un employé de la société. Grâce à ces données, ils se seraient ainsi connectés à son compte et ils auraient volé un document recensant les adresses mail de plusieurs utilisateurs du service. On ne manquera pas de se demander à quoi pouvait bien servir ce dernier, évidemment, mais si vous recevez soudainement une quantité importante de spam dans votre boite, vous saurez finalement d’où ça vient.

La contre-attaque de Dropbox

Bien sûr, Dropbox ne compte pas en rester là et la firme a ainsi annoncé sur son blog la mise en place d’un certain nombre de protections pour éviter que cette triste affaire ne se reproduise. Voilà donc une liste des mesures qui vont être mises en place par Dropbox :

• Intégration d’un nouveau système d’identification en deux temps. Qui reposera à la fois sur un mot de passe défini par l’utilisateur et par un code qui lui sera envoyé sur son mobile, un peu à l’image de ce que propose Blizzard pour ses titres. Cette fonctionnalité devrait être mise en place dans les semaines à venir.
• Intégration d’un nouveau système de surveillance. Cet outil sera capable de détecter des activités inusuelles sur nos comptes, ce qui permettra ensuite à Dropbox de désactiver notre compte ou de demander la réinitialisation de son mot de passe.
• Intégration d’un outil synthétisant tous les accès à notre Dropbox. Outil qui est accessible dès aujourd’hui par l’intermédiaire de cette page. Grâce à cette dernière, nous pourrons voir toutes les machines pouvant accéder à notre compte, bien sûr, mais également toutes les sessions ouvertes dans des navigateurs. Pour ces dernières, on pourra ainsi connaitre la localisation de l’internaute, son navigateur ou encore son activité récente.
• Une surveillance accrue de nos mots de passe. Dropbox va surveiller d’un peu plus près nos mots de passe et la firme pourra demander leur réinitialisation dans certains cas. En outre, la société nous invitera désormais à changer régulièrement de mot de passe.

Des améliorations notables et qui devraient nous aider à mieux sécuriser notre compte, donc. Et on comprend évidemment pourquoi Dropbox s’est empressé de réagir. S’il venait à perdre la confiance de ses utilisateurs, alors ces derniers ne tarderaient pas à se détourner de ses services. C’est plutôt logique puisqu’on parle ici d’une société spécialisée dans le stockage « cloud » et donc d’une société à qui nous avons l’habitude de confier nos données, nos documents. Dans ce contexte, on peut dire que cette dernière n’a évidemment pas droit à l’erreur, d’autant plus que la concurrence est rude sur ce secteur. En ce qui me concerne, ce vol de mot de passe ne me fera pas perdre confiance, c’est un fait, mais cette histoire de document centralisant des adresses mail me reste tout de même en travers de la gorge…

La copie du message reçu

Chose promise, chose due, on termine cet article avec la retranscription du mail envoyé par Dropbox à ses abonnés. Je ne l’ai pas traduit mais je pense qu’il n’est pas très difficile à comprendre. Au pire, vous pouvez toujours le passer dans Google Traduction si le coeur vous en dit, hein… Ce sera toujours mieux que mes propres traductions :

Hi Fred,

Recently, passwords have been stolen from some Internet services. This is a problem because many people use the same password on multiple services, which is unsafe.

As a precaution, we’ve reset your password and you can create a new one here.

We haven’t detected any suspicious activity in your Dropbox, but we’re proactively taking steps to keep users safe.

We know it’s easy to use a single password across different websites, but this means if any one site is compromised, all your accounts are at risk. If you’ve ever used the same password for more than one website, you should create new unique passwords for each of them. Tools like 1Password do this for you and can help make your accounts safer.

Best,
- The Dropbox Team

Et vous alors, est-ce que vous faites aussi partie du lot ?