Dropbox annonce que les mots de passe de comptes qui n'ont pas été changés depuis 2012 sont réinitialisés. Il s'agit d'une mesure de prévention alors que des informations liées à un piratage du service datant de 2012 ont été repérées.

Si Dropbox n’a pas les faveurs d’Edward Snowden, le lanceur d’alerte lui préférant un service comme SpiderOak, il faut néanmoins reconnaître que le service de stockage de fichiers à distance fait des efforts notables pour offrir un bon niveau de protection à ses utilisateurs : le site propose la validation en deux étapes, a un programme de chasse aux bugs et fournit un cadre protecteur pour les usagers.

Dropbox mobile

Dans la même veine, Dropbox vient de prendre la décision de forcer la réinitialisation de tous les mots de passe qui n’ont pas été changés depuis 2012. Les propriétaires des comptes qui sont concernés devront donc en choisir un nouveau (et, si possible, en se conformant aux règles du genre : longueur, complexité et unicité). Une mesure que la plateforme décrit comme préventive.

Sur son site web, Dropbox mentionne l’existence d’un vieux jeu de données à propos de ses utilisateurs (adresses de courrier électronique et des mots de passe hachés et salés) qui aurait été obtenu en 2012. Or, il s’avère que le service a été victime d’un piratage à cette date. Après analyse, Dropbox considère que ce jeu de données est bien lié au piratage qui a affecté son service il y a quatre ans.

Un vieux piratage refait surface

Si la décision de procéder à la remise à zéro forcée des mots de passe des comptes qui sont potentiellement vulnérables est une politique de prudence que l’on ne peut qu’approuver, on peut toutefois s’étonner qu’elle survienne si tardivement. Même sans l’existence de ce jeu de données, Dropbox aurait pu très bien décider d’obliger ses clients à revoir la fiabilité de leur mot de passe.

Ceux qui ont changé leur mot de passe Dropbox depuis 2012 n’auront rien à faire. Cela dit, rien n’interdit de profiter de cette annonce pour procéder à la mise à jour de son mot de passe, en vérifiant par exemple qu’il n’est pas utilisé sur un autre service. On n’est jamais trop prudent. Cela peut aussi être l’occasion d’activer la validation en deux étapes si ce n’est pas encore fait.

Partager sur les réseaux sociaux

Articles liés