BFM Business

Dropbox s'est fait voler les informations de 68 millions de clients

-

- - -

Heureusement, les mots de passe dérobés étaient correctement chiffrés. Le risque qu'un utilisateur se fasse pirater son compte était donc faible.

Il y a quelques jours, le site de stockage en ligne Dropbox a forcé le changement de mots de passe de certains de ses clients. Dans un message que le fournisseur leur a envoyé, il expliquait que cela faisait suite à la découverte "d'anciennes informations d'identification qui auraient été dérobées en 2012", et qui visiblement circulent actuellement parmi les pirates. Mais Dropbox n'a pas donné plus de détails. Grâce à Motherboard, on sait maintenant que la quantité de données volées est loin d'être anecdotique. Un informateur a envoyé au site d'information 5 Go de fichiers contenant plus de 68 millions d'identifiants Dropbox. Un cadre de la société a confirmé à Motherboard que ces données étaient véridiques.

Mesure de précaution

Heureusement, il n'y a pas besoin de céder à la panique cette fois-ci. Tout d'abord, Dropbox assure que tous les clients potentiellement impactés ont depuis été contraints de changer leur mot de passe. Mais il s'agit là avant tout d'une mesure de précaution. En réalité, le risque de piratage était limité, car les mots de passe ne figurent pas en clair dans la base de données, mais sous forme chiffrée. Selon le chercheur en sécurité Troy Hunt, qui a également reçu une copie de ces données, les procédés cryptographiques utilisés par Dropbox sont bons. Retrouver les mots de passe en essayant de casser le chiffrement serait "presque impossible", estime l'expert.

En d'autres termes: même si vous n'avez pas changé votre mot de passe Dropbox depuis 2012, il y a peu de chance qu'un pirate ait réussi à rentrer dans vos répertoires rien qu'en utilisant ces données volées. Ce qui est quand même rassurant. Dropbox n'est pas le premier à être victime d'un vol de données. Depuis quelques mois, des centaines de millions d'identifiants ont été mis en vente sur le Dark Web, provenant de sites tels que LinkedIn, MySpace, Tumblr ou VKontakte. Pour savoir si votre compte figure dans ces bases de données volées, vous pouvez aller sur le site Haveibeenpwned.com. Créé par Troy Hunt, il référence les bases de données volées et permet d'effectuer des recherches par nom ou par adresse mail.