Techno
68 millions de comptes Dropbox compromis
La Presse
En juin de cette année-là, LinkedIn a été victime du piratage de ses serveurs par des cybercriminels russes, qui auraient mis la main sur 6,5 millions d’identifiants, selon ce qui a été annoncé à l’époque. Dropbox, cet été-là, avait découvert que certains de ses usagers – qui utilisaient vraisemblablement le même mot de passe que pour LinkedIn – avaient aussi vu leur compte piraté. Un employé de Dropbox avait été la cible des cybercriminels et s’était fait voler un document contenant les adresses courriel de nombreux usagers. Le 31 juillet 2012, on a publié un communiqué relatant sobrement ces faits et donnant des conseils de sécurité, notamment de ne plus utiliser le même mot de passe pour plusieurs sites.
D’abord, la fuite chez LinkedIn était d’une ampleur bien plus grande que ce qu’on croyait : en mai 2016, le réseau social pour professionnels a réévalué le nombre de comptes piratés à plus de 100 millions. Plusieurs nouvelles fuites, impliquant notamment 427 millions de mots de passe de MySpace, ont défrayé l’actualité cet été. Il y a deux semaines, des « rumeurs » ont circulé voulant qu’une importante liste piratée d’usagers de Dropbox datant de 2012 ait refait surface sur l’internet, selon ce qu’écrit sur son blogue le responsable de la sécurité de l’entreprise, Patrick Heim. Après enquête, Dropbox a retrouvé cette liste et envoyé un courriel d’avertissement à tous les usagers qui auraient pu être touchés. On a de plus modifié à distance le mot de passe des usagers qui avaient gardé le même depuis 2012. Dans un communiqué publié la semaine dernière, Dropbox précisait qu’il s’agissait d’une mesure « préventive », sans donner plus de détails.
Dropbox n’a fait que le confirmer, en fait. Tout a déboulé mardi dernier avec la publication d’un reportage du site américain spécialisé Motherboard.
Le journaliste Joseph Cox y révélait avoir mis la main sur quatre fichiers d’environ 5 Go contenant les informations de 68 680 741 comptes Dropbox, soit les deux tiers des utilisateurs en 2012. Près de la moitié de ces informations étaient cryptées et probablement inutilisables pour des pirates. Mercredi, Dropbox a confirmé l’authenticité des fichiers et assuré n’avoir « aucune indication qu’on avait accédé à des comptes d’utilisateurs Dropbox de façon inappropriée. » Selon Motherboard, la liste piratée des usagers de Dropbox n’a probablement pas une grande valeur en 2016 et n’est même pas en vente sur le Dark web. Un pirate a même confié avoir déjà cette liste en sa possession.
D’abord, comme le répète Dropbox depuis 2012, changez votre mot de passe. Ce qui a probablement été fait automatiquement, si vous étiez à risque, ou qui vous sera demandé la prochaine fois que vous vous connecterez à ce service. Ensuite, abandonnez l’habitude si confortable d’avoir le même mot de passe pour plusieurs sites et choisissez des combinaisons plus complexes. Un bon gestionnaire de mots de passe comme 1Password – conseillé par Dropbox – peut vous aider. En ce qui concerne plus spécifiquement Dropbox, plusieurs mesures de sécurité supplémentaires sont disponibles depuis 2012. On peut utiliser deux modes d’authentification – par exemple, un mot de passe et un code envoyé par SMS sur votre téléphone – et consulter l’historique des connexions.
Fondée en 2007, située à San Francisco, aux États-Unis
Service de stockage et de partage de données en ligne
Dropbox offre 2 Go d’espace gratuitement, et divers ajouts et options payants pouvant atteindre 1 To. Cinq cents millions d’utilisateurs y sont inscrits.
Dropbox Business s’adresse, quant à lui, aux entreprises et ses tarifs dépendent de l’utilisation. Deux cent mille entreprises et organisations l’utilisent.
Disponible dans 20 langues et 200 pays, avec des bureaux notamment à Dublin, Londres, Paris, Hambourg et Tokyo
Non cotée en Bourse, évaluée à 10 milliards US, avec revenus annuels estimés de 400 millions US en 2014