Si vous avez reçu un courriel contenant des instructions pour modifier le mot de passe de la boîte de dépôt, il est recommandé de le faire dès que possible. Si vous ne l’avez pas reçu aussi : le service a subi une invasion en 2012 qui pourrait avoir compromis la sécurité de plus de 68 millions de comptes.
Le problème a pris de l’ampleur ces derniers jours lorsque Dropbox a commencé à informer les utilisateurs qui ont créé des comptes sur le service avant 2012 de la nécessité d’échanger leur mot de passe de manière urgente. Une alerte a également été publiée sur le blog de l’entreprise. La note indique que les équipes de sécurité ont détecté la saisie incorrecte des identifiants des utilisateurs lors d’une invasion qui s’est produite dans l’année susmentionnée.
C’est une procédure standard. Tout service en ligne de bonne réputation doit suivre un protocole d’échange de mots de passe lorsqu’une activité suspecte est détectée. Ce qui est surprenant, c’est le nombre de comptes qui pourraient être touchés : la boîte de dépôt n’a reconnu que mardi soir (30) que 68 millions de comptes sont en danger ? 68 680 741 euros, pour être exact. Un spécialiste de la sécurité a eu accès à la base de données et a découvert ce total.
Lorsque l’attaque a été détectée en 2012, l’entreprise a expliqué que seules des informations telles que le courrier électronique et le nom d’utilisateur avaient été saisies. Mais il est maintenant clair que les données concernant les mots de passe aussi. Malgré cela, Dropbox déclare dans son blog que l’échange de mots de passe est une mesure préventive et qu’elle ne pense pas que tous les comptes concernés aient été indûment consultés.
C’est très probablement vrai. Parmi les comptes concernés, un peu plus de 32 millions ont un cryptage bcrypt de hachage. Le reste est basé sur la méthode de hachage SHA-1, qui est plus faible. Il est donc bon de ne pas faire de bêtises. Il y a des indications que l’attaque a été menée à partir de l’exploitation du compte d’un employé de service, donc en fonction de ce qui a été consulté, le problème peut être plus étendu qu’on ne le pense.
Voici le conseil : changez votre mot de passe même si votre compte a été créé après 2012. Ce n’est pas la première fois que Dropbox connaît un tel problème. Prendre des mesures préventives ne sera donc pas une exagération. Et si vous ne l’avez pas encore fait, c’est aussi le bon moment pour activer la vérification en deux étapes.
