6 937 081. C'est le nombre de comptes qui auraient été compromis sur Dropbox, selon un document publié ce lundi sur Pastebin. L'auteur présumé du piratage n'a pas publié la liste complète des comptes concernés par cet incident, mais seulement une petite sélection de 405 exemples. À chaque fois, la combinaison "adresse électronique plus mot de passe" est indiquée.
Des usagers sur Reddit qui se sont penchés sur la véracité du document ont constaté que certaines associations fonctionnent sur Dropbox. Impossible en revanche de savoir si les 6 936 676 cas restants existent bel et bien, dans la mesure où l'auteur du document sur Pastebin conditionne les prochaines révélations à des dons en Bitcoins.
Dropbox dément tout piratage
De son côté, Dropbox a publié un article sur son blog pour calmer le jeu. "De récents articles de presse affirmant que Dropbox a été piraté sont inexacts. Vos contenus sont en sécurité. Les identifiants et les mots de passe mentionnés dans ces articles ont été dérobés depuis des services indépendants, pas auprès de Dropbox".
"Les auteurs de l'attaque ont ensuite utilisé ces combinaisons pour essayer de se connecter à d'autres sites sur le web, dont Dropbox. Nous avons pris des dispositions pour détecter toute activité de connexion suspecte et nous réinitialisons automatiquement le mot de passe lorsque cela survient", poursuit le spécialiste de l'hébergement à distance.
Une compromission indirecte
En résumé, le service fourni par Dropbox n'a pas été directement compromis. En revanche, les internautes qui ont l'habitude d'utiliser systématiquement le même mot de passe à chaque fois qu'ils ouvrent un nouveau compte en ligne devraient changer sans tarder de mot de passe sur Dropbox, car leur compte n'est pas en sécurité.
Si un pirate réussit à récupérer des identifiants et des mots de passe sur un autre site ayant un niveau de sécurité moins élevé que celui de Dropbox, l'hébergeur en ligne ne pourra pas faire grand chose. En effet, dans la mesure où les usagers utilisent souvent un seul et même mot de passe, il suffit de le récupérer une fois sur un site peu protégé pour que tous les autres profils soient vulnérables.
Des parades existent
Des parades existent, heureusement. D'abord, l'utilisateur doit absolument faire l'effort de choisir un mot de passe différent par service. Et chaque nouveau mot de passe doit être suffisamment long et mélanger de multiples caractères (lettres, chiffres, symboles). Ils ne doivent pas non plus avoir de sens (il ne faut pas choisir un mot pour éviter les attaques par dictionnaire, par exemple).
Ensuite, il est recommandé d'activer l'authentification forte lorsqu'elle est disponible. Dropbox propose cette sécurité. Quand les utilisateurs s'identifient auprès du site, ils doivent d'abord rentrer leur mot de passe puis demander l'envoi d'un code secret par SMS ou le générer sur une application mobile, via un smartphone qui aura été préalablement associé au compte.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !