Quatre ans avoir avoir été victime d'un piratage et avoir su qu'il avait donné accès à une liste d'adresses e-mail, Dropbox a décidé il y a quelques jours de réinitialiser les mots de passe. Mais ce n'est qu'aujourd'hui que l'on en découvre l'ampleur.

La semaine dernière, Dropbox annonçait la réinitialisation de mots de passe d’utilisateurs inscrits depuis au moins 2012, en expliquant avoir été informé du fait qu’une base de données piratée à l’époque circulait, dans laquelle des adresses e-mails et des mots de passe hashés figurent. Dropbox avait prévenu dès 2012 qu’il avait été victime d’un tel piratage dû au vol d’un mot de passe d’un employé, et que les adresses e-mails obtenues avaient été utilisées pour envoyer des spams.

L’entreprise n’avait toutefois rien dit de l’ampleur du piratage, et avait visiblement caché son ampleur. Selon Motherboard qui s’appuie sur plusieurs sources ayant eu connaissance de la base de données mise en vente, la base compterait très exactement 68 680 741 enregistrements de comptes Dropbox, avec leur adresse e-mail et leur mot de passe sous forme chiffrée.

Dropbox a mis quatre ans à réagir

Rien ne permet de penser que des mots de passe ont pu être déchiffrés. En revanche si vous utilisez le même mot de passe sur Dropbox que sur d’autres services en ligne, et si ces services ont eux-aussi été piratés, il est possible d’accéder à votre Dropbox en utilisant le mot de passe obtenu ailleurs. En 2012, le service en ligne avait d’ailleurs indiqué que des accès frauduleux avaient été faits par cette méthode, neutralisée lorsque l’on active la validation en deux étapes.

Dès lors, on ne comprend pas pourquoi Dropbox a attendu quatre ans ( !) avant de réinitialiser les mots de passe.

Ce piratage dont la base de données resurgit après plusieurs années est le dernier en date d’une série similaire, qui fait penser qu’il pourrait s’agir du même groupe, ou de mêmes failles ont pu être exploitées à l’époque. Ainsi ces derniers mois on a appris la diffusion de  171 millions de mots de passe VK (le Facebook russe),427 millions de comptes Myspace,167 millions de mots de passe LinkedIn ou encore 32 millions de mots de passe Twitter.

À lire sur Numerama : Un site pour vérifier si vos données ont été piratées

Partager sur les réseaux sociaux

Articles liés