Dropbox dément tout piratage de ses comptes
Dropbox a démenti avoir été l'objet d'un vol d'identifiants et de mots de passe. Le site a réagi après la mise en ligne d'une liste de 400 comptes présentés comme ceux d'utilisateurs de son service. L'auteur du supposé larçin réclamait le versement de bitcoins pour continuer à dérouler sa liste qui totaliserait 6,9 millions d'entrées.
Dropbox a d'abord répondu qu'il n'avait fait l'objet d'aucune intrusion. La théorie avancée est qu'il s'agit de comptes d'un ou plusieurs autres services en ligne. Ce qui n'exclut pas que des gens utilisent les même informations d'un site à l'autre pour des raisons de commodité. Le service rappelle qu'il réinitialise automatiquement les mots de passe en cas de détection d'une activité suspecte autour d'un compte.
Dans un second temps, après publication de la liste, Dropbox a précisé qu'il n'avait trouvé aucun lien entre ces références et des comptes d'utilisateurs. Sachant que la liste est encore très largement incomplète comparé à ce que le Rapetou dit avoir en sa possession. Dropbox en profite pour recommander de se mettre à l'authentification en deux étapes et surtout d'éviter les identifiants uniques que l'on utilise de sites en sites.
"surtout d'éviter les identifiants uniques que l'on utilise de sites en sites"
le nombre de fois que je dis cela aux jeuuuuuuneuh
@oomu :
Avant que mon mac ne propose des mots de passe sûrs, je n en 'avais que 3 différents... Maintenant, je ne les comptes plus :)
La validation en deux étapes semble avoir du mal à être adopté par certains.
Bien dommage car c'est LA solution. Enfin, jusqu'à ce que quelqu'un trouve une faille.
Bah...
On f'ra de la validation en trois étapes à c'moment-là...
Ce qui m'inquiète dans ce processus de validation en 2 étapes avec envoi d'un sms, c'est que le jour où on change de numero de telephone portable, il faut penser à signaler la modif sur TOUS les sites utilisant cette procedure...
Paradoxalement, plus on augmente le niveau de sécurité, plus on augmente les chances de perdre l'accès à ses données.
C'est bien de prendre des bonnes habitudes, mais il y a effectivement des situations dans lesquels un mot de passe n'est pas récupérable en cas d'oubli. À bien vérifier avant d'activer un processus d'authentification en plusieurs étapes.
La sécurité cela signifie toujours l'introduction de contraintes, on ne peut avoir le beurre, l'argent du beurre et le cul de le crémière ;-)