Récemment le service de stockage en ligne Dropbox a été victime d’un piratage comme on peux le lire par exemple chez le Journal du Geek ou chez PC World, alors que s’est il passé ?
Dropbox a en fait été victime d’un double piratage (ça c’est vraiment pas dbol), ils l’ont confirmés sur leur blog dans un post du 31 juillet où il faisaient leurs petites excuses pour les utilisateurs victimes du piratage et ils en ont profités pour annoncer de nouvelles mesures de sécurité à venir.
Mais ce double piratage reste quand même très intéressant…
Après enquête, il s’avère que la première partie du piratage est en fait liée à un piratage antérieur d’autres services en ligne indépendants de Dropbox comme le récent piratage de Yahoo!.
En fait une partie des identifiants et mot de passe récupérés lors de ce dernier piratage ont étés utilisés sur les comptes Dropbox, certains usagers utilisants les mêmes mots de passe sur différents services en ligne, il était alors facile d’accèder à tous leurs services en ligne, y compris Dropbox donc.
La deuxième partie du piratage quand à elle est centrée sur un employé de Dropbox, ce dernier a en fait subi un piratage sur son compte mail, qui contenait un fichier stockant des adresses email de plusieurs utilisateurs Dropbox.
Ici, pas vraiment de grosses conséquences pour les clients dans la liste hormis qu’il ont été la cible de spams donc rien de bien grave.
Les leçons que Dropbox en tire…
Avoir un problème c’est la meilleure solution pour apprendre, Dropbox a alors annoncé qu’il allait bientôt mettre en place un nouveau système d’identification, un double système d’identification en fait qui va envoyer par sms les identifiants aux usagers.
Ils vont aussi mettre en place une page qui liste les connexions active afin de voir si vous êtes le seul connecté à votre compte ou si vous avez un invité mystère.
Enfin Ils annoncent également qu’ils vont se réserver désormais la possibilité le changer votre mot de passe si ce dernier n’est pas assez sûr, pas assez souvent changé ou trop utilisé par de nombreux utilisateurs.
Les leçons qu’on peux en tirer…
– On évite de mettre le même mot de passe sur tous les services en ligne, comme ça si un des services tombe, on est tranquille sur les autres.
– On évite d’utiliser les mots de passe les plus utilisés (« 123456 », « 000000 », « password » et bien d’autres) ainsi que votre date de naissance, numéro de téléphone ou tout autre mot de passe facilement devinable.
– Bien souvent l’erreur est humaine, c’est pas bien malin de garder un fichier de listing d’adresse email clients dans sa boite mail…