Un pirate menace de révéler des millions de mots de passe Dropbox
Le service de stockage de documents a pris les devants et réinitialisé les comptes utilisant les informations volées. Il affirme ne pas avoir subi d’intrusion sur ses serveurs.
Les vols en ligne ultramédiatisés se multiplient. Après iCloud et Snapchat, c’est au tour de Dropbox d’être dans la tourmente. Des centaines d’identifiants et mots de passe présumés du site de partage de documents ont été publiés lundi sur Pastebin, un site internet anonyme de partage d’informations. Son auteur affirme avoir mis la main sur presque 7 millions de comptes et demande des dons en Bitcoin pour financer l’opération. «Nous rendrons davantage (de contenu) public à mesure que les donations afflueront, montrez votre soutien», peut-on lire sur le document.
Dropbox nie toute intrusion
Face à la panique, Dropbox a aussitôt démenti toute intrusion dans ses serveurs. «Ces identifiants et mots de passe ont été malheureusement dérobés à d’autres services et utilisés dans des tentatives pour se connecter à de nombreux autres sites Internet, dont Dropbox», affirme Anton Mityagin, en charge de la sécurité chez Dropbox, dans un post de blog. «Lorsque nous détectons toute activité suspecte sur un compte, nous réinitialisons automatiquement les mots de passe», ajoute-t-il. Ainsi, lorsque l’on tente d’accéder à un compte Dropbox en utilisant des données révélées sur le document du Pastebin, le mot de passe est indiqué comme expiré. «C’est à cause de ce genre d’attaques que nous recommandons à nos utilisateurs de ne pas utiliser le même mot de passe pour différents sites Internet.» Dropbox conseille également aux internautes d’utiliser un système d’authentification à deux facteurs, qui permet de recevoir un code de sécurité unique par SMS à chaque fois qu’ils souhaitent se connecter à leur compte.
Malgré ces déclarations rassurantes de Dropbox, cette affaire intervient à un moment critique pour l’entreprise américaine. La semaine dernière, Edward Snowden, qui a révélé le programme de surveillance PRISM, a conseillé aux internautes de se «débarrasser de Dropbox», dont il a critiqué la faible protection des données et qu’il considère comme «hostile à la vie privée». En juin, l’entreprise avait pourtant affirmé qu’elle utilisait des procédés de chiffrement dans ses transferts de document entre l’ordinateur de ses utilisateurs et ses serveurs. Ils empêchent en théorie la lecture des fichiers à toute personne ne possédant pas une clé de déchiffrement, même en cas de vol.