Techno

68 millions de comptes Dropbox compromis

Si vous avez le même mot de passe sur Dropbox depuis 2012, changez-le rapidement. Plus de 68 millions d’identifiants et de mots de passe du service de stockage en ligne, volés il y a quatre ans, ont récemment refait surface sur l’internet, a reconnu l’entreprise. Que s’est-il passé ? Le tour de la question en quatre réponses.

QUE S’EST-IL PASSÉ EN 2012 ?

En juin de cette année-là, LinkedIn a été victime du piratage de ses serveurs par des cybercriminels russes, qui auraient mis la main sur 6,5 millions d’identifiants, selon ce qui a été annoncé à l’époque. Dropbox, cet été-là, avait découvert que certains de ses usagers – qui utilisaient vraisemblablement le même mot de passe que pour LinkedIn – avaient aussi vu leur compte piraté. Un employé de Dropbox avait été la cible des cybercriminels et s’était fait voler un document contenant les adresses courriel de nombreux usagers. Le 31 juillet 2012, on a publié un communiqué relatant sobrement ces faits et donnant des conseils de sécurité, notamment de ne plus utiliser le même mot de passe pour plusieurs sites.

POURQUOI CETTE HISTOIRE RESSURGIT-ELLE APRÈS QUATRE ANS ?

D’abord, la fuite chez LinkedIn était d’une ampleur bien plus grande que ce qu’on croyait : en mai 2016, le réseau social pour professionnels a réévalué le nombre de comptes piratés à plus de 100 millions. Plusieurs nouvelles fuites, impliquant notamment 427 millions de mots de passe de MySpace, ont défrayé l’actualité cet été. Il y a deux semaines, des « rumeurs » ont circulé voulant qu’une importante liste piratée d’usagers de Dropbox datant de 2012 ait refait surface sur l’internet, selon ce qu’écrit sur son blogue le responsable de la sécurité de l’entreprise, Patrick Heim. Après enquête, Dropbox a retrouvé cette liste et envoyé un courriel d’avertissement à tous les usagers qui auraient pu être touchés. On a de plus modifié à distance le mot de passe des usagers qui avaient gardé le même depuis 2012. Dans un communiqué publié la semaine dernière, Dropbox précisait qu’il s’agissait d’une mesure « préventive », sans donner plus de détails.

QU’EST-CE QUI A FORCÉ DROPBOX À DONNER CE FAMEUX CHIFFRE DE 68 MILLIONS ?

Dropbox n’a fait que le confirmer, en fait. Tout a déboulé mardi dernier avec la publication d’un reportage du site américain spécialisé Motherboard.

Le journaliste Joseph Cox y révélait avoir mis la main sur quatre fichiers d’environ 5 Go contenant les informations de 68 680 741 comptes Dropbox, soit les deux tiers des utilisateurs en 2012. Près de la moitié de ces informations étaient cryptées et probablement inutilisables pour des pirates. Mercredi, Dropbox a confirmé l’authenticité des fichiers et assuré n’avoir « aucune indication qu’on avait accédé à des comptes d’utilisateurs Dropbox de façon inappropriée. » Selon Motherboard, la liste piratée des usagers de Dropbox n’a probablement pas une grande valeur en 2016 et n’est même pas en vente sur le Dark web. Un pirate a même confié avoir déjà cette liste en sa possession.

COMMENT SE PROTÉGER DU PIRATAGE ?

D’abord, comme le répète Dropbox depuis 2012, changez votre mot de passe. Ce qui a probablement été fait automatiquement, si vous étiez à risque, ou qui vous sera demandé la prochaine fois que vous vous connecterez à ce service. Ensuite, abandonnez l’habitude si confortable d’avoir le même mot de passe pour plusieurs sites et choisissez des combinaisons plus complexes. Un bon gestionnaire de mots de passe comme 1Password – conseillé par Dropbox – peut vous aider. En ce qui concerne plus spécifiquement Dropbox, plusieurs mesures de sécurité supplémentaires sont disponibles depuis 2012. On peut utiliser deux modes d’authentification – par exemple, un mot de passe et un code envoyé par SMS sur votre téléphone – et consulter l’historique des connexions.

DROPBOX EN BREF

Fondée en 2007, située à San Francisco, aux États-Unis

Service de stockage et de partage de données en ligne

Dropbox offre 2 Go d’espace gratuitement, et divers ajouts et options payants pouvant atteindre 1 To. Cinq cents millions d’utilisateurs y sont inscrits.

Dropbox Business s’adresse, quant à lui, aux entreprises et ses tarifs dépendent de l’utilisation. Deux cent mille entreprises et organisations l’utilisent.

Disponible dans 20 langues et 200 pays, avec des bureaux notamment à Dublin, Londres, Paris, Hambourg et Tokyo

Non cotée en Bourse, évaluée à 10 milliards US, avec revenus annuels estimés de 400 millions US en 2014

Techno

Target

En novembre 2013, Target est la cible du plus grand piratage touchant une entreprise de commerce de détail aux États-Unis. Quarante millions de numéros de carte de crédit et des renseignements personnels de 70 millions de clients tombent entre les mains de cybercriminels. En mars 2015, Target acceptera de payer 10 millions US aux victimes de cette fuite.

Techno

Home Depot

En avril 2014, les serveurs de Home Depot sont infiltrés par un pirate qui a simplement volé le mot de passe d’un des fournisseurs de l’entreprise. Au total, 56 millions de comptes de cartes de crédit et 53 millions d’adresses courriel sont compromis.

Techno

Sony Pictures

En novembre 2014, des renseignements confidentiels provenant d’employés de Sony Pictures Entertainment (courriels, coordonnées, numéro d’assurance sociale et projets de films) sont piratés par un groupe qui s’identifie comme « Guardians of Peace ». On apprend notamment qu’Angelina Jolie était considérée comme « minimalement talentueuse » et que Charlie Sheen est séropositif.

Techno

Ashley Madison

En août 2015, un groupe de pirates appelé « The Impact Team » parvient à s’infiltrer dans les serveurs du site de rencontres pour adultes infidèles Ashley Madison. Il publie les noms, identifiants et mots de passe de 37 millions d’usagers. On apprendra par la suite qu’à peine 12 000 femmes fréquentaient en réalité ce site.

Ce texte provenant de La Presse+ est une copie en format web. Consultez-le gratuitement en version interactive dans l’application La Presse+.