Une « faille » de sécurité dans Dropbox

Anthony Nelzin-Santos |
L'expert en sécurité Derek Newton a tenu à savoir ce que les logiciels de synchronisation de fichiers laissaient derrière eux sur un ordinateur. Ce faisait, il est tombé sur une faiblesse de Dropbox qui peut permettre à un utilisateur malintentionné se connecter silencieusement à un compte Dropbox et ainsi pouvoir accéder à tous les fichiers stockés en ligne.

%C2%A9%20Hung-Su

C'est une faiblesse plus qu'une réelle faille : il faut avoir accès à la machine de l'utilisateur que l'on cible pour pouvoir exécuter son plan. Dropbox stocke en fait dans des fichiers (bases SQLite) les données de la configuration, la liste des dossiers et fichiers, et même l'identifiant de l'utilisateur. Si l'on récupère ces fichiers et qu'on les transfère sur une autre machine sur laquelle est installée Dropbox, on est alors automatiquement connecté sur le compte de l'utilisateur a qui l'on a pris ces fichiers, sans qu'il ne le voie, et sans avoir besoin de fournir le moindre mot de passe. Même chose si l'on change l'ID de l'utilisateur pour le sien : la Dropbox continuera à fonctionner sans problème chez l'utilisateur, et se mettra à fonctionner aussi chez le « pirate ». Ces manipulations ont été testées avec succès sous Windows, mais le fonctionnement de Dropbox semble être le même sur Mac.

La principale difficulté est donc de se procurer ces fichiers : l'accès physique à la machine ne peut pas être considéré comme une faille de sécurité. On pourrait néanmoins envisager la création d'un cheval de Troie dont la mission serait de discrètement récupérer ces fichiers : les pirates pourraient alors avoir accès à de nombreuses Dropbox, qui peuvent contenir des documents avec des données sensibles (mots de passe, etc.). Le problème est donc que ces fichiers sont trop peu sécurisés, un point qui appellera certainement une réponse de la part de Dropbox.

En attendant, les parades sont simples. On peut évidemment décider d'arrêter d'utiliser Dropbox, mesure un peu radicale : mieux vaut donc s'assurer que les données les plus sensibles sont au moins chiffrées (les bases 1Password stockées sur une Dropbox, par exemple, sont chiffrées avec le mot de passe maître). Enfin, n'hésitez pas à vérifiez sur votre compte que vous connaissez tous les ordinateurs et appareils liés à votre Dropbox : supprimez toute ancienne machine ou toute machine inconnue.
avatar Ziflame | 
En clair, lorsqu'une personne malveillante a un accès physique à votre machine, vous risquez d'être piratés. Si la formule décrite est nouvelle -- et quelque peu alambiquée --, la règle est vieille comme le monde : en 1985, une personne malveillante pouvait déjà copier des données sensibles sur une disquette 5"1/4, ou formater le disque dur/la disquette de données, etc. Ou pour faire plus récent, depuis que l'e-mail existe, avec un accès physique, il suffit de copier le fichier où est stocké le mot de passe mail et tous les mails POP3 ou IMAP seront accessible depuis la machine de l'utilisateur malveillant sans que l'utilisateur légitime sache quoi que ce soit. Le même cas de figure que ce qui est décrit dans ce texte en gros. Je comprends que l'actualité est un peu plate ces derniers temps, mais pourquoi pas un article d'opinion détaillant ce que je viens d'expliquer et dénonçant cet appel à la paranoïa, plutôt que l'annonce d'une faille (même entre guillemets) ?
avatar NicolasO | 
Le fait que DropBox ait acces a toutes vos donnes me semble une plus grosse faille de securite.
avatar Anthony Nelzin-Santos | 
@Ziflame : parce que j'ai grosso modo dit ce que tu viens de dire à plusieurs reprises dans d'autres papiers, et encore cette fois ?
avatar leodum | 
@ NicolasO : De toute façon, il y a toujours un moment où un fournisseur de service accède à tes données : que se soit tes mails chez Google, Yahoo ou autres, que se soit les données qui transitent par ta connexion chez ton fournisseur d'accès, tes messages et autres données chez MacG, etc… Soit tu fonctionnes en vas clos et tu ne laisses personne (ou pratiquement personne) accéder à tes données en te montant ton propre serveur avec toutes la complexité et les frais que ça engendre, soit tu choisis judicieusement tes fournisseurs de service. Choix judicieux en fonction duquel tu estimes pouvoir à qui faire confiance ou non.
avatar rom54 | 
Une illustration de plus des risques et danger que représente le stockage en ligne, et tout ce qui touche au cloud en général. En l'occurrence, il faut ici avoir un accès physique a la machine, mais il y a d'autres méthodes qui permettent d'avoir accés à l'ordinateur à travers le réseau, a commencer probablement par la faille utilisée lors de la derniere pwn2own et qui n'est toujours pas comblée. Une autre approche serait d'installer un keylogger sur le compte de l'utilisateur ou un autre troyen et que celui ci fouille les bases SQLite... Et on ne parle même pas des personnes qui ont accés physique à l'espace de stockage du cloud... Un moyen de se prémunir des risques c'est encore de commencer à utiliser Truecrypt pour coder ses fichiers a stocker sur le reseau, de coder ses mails avec MacGPG2 (ou enigmail sous thunderbird) et d'utiliser des comptes utilisateurs et administrateurs distincts sur son mac... http://www.gpgtools.org/macgpg2/index.html http://www.truecrypt.org/
avatar Almux | 
Vive le cloud... effectivement! :/ Avec le "cloud über alles" qu'on va (bientôt) instaurer de manière universelle, on ne va pas manquer de surprises "dingues"!
avatar oomu | 
ha ben quand machine personnelle piratée, tout accès personnel est piraté. ha ben vi. hé dis donc, vous imaginez si je copie votre trousseau de sécurité os x ? huhuhuhuhu...
avatar Ziflame | 
@rom54 : j'attendais cette réaction pour faire remarquer que depuis toujours, les e-mails étaient stockés « dans le cloud », c'est-à-dire sur une machine distante et récupérés lors de la connexion du client. Pas grand-chose de neuf sous le soleil.
avatar oomu | 
@rom54 [08/04/2011 13:09] pour que vous ne dormiez plus dela nuit : quand vous êtes connectés à internet via un réseau d'école, université, restaurant, lieux public etc, vous avez tant confiance que ça en l'admin système ? celui qui a mis un petit ordi qui enregistre toutes vos communications en claires et stock les éventuels mot de passe http non-ssl, pop, imap, protocole zarbi improvisé par un shareware exotique, etc ? hmm? ps: ha vi, j'ai pas vu que rom54 n'en dort déjà pas de la nuit. ça va.
avatar ischiros | 
La faille, c'est que l'ordi sur lequel on copie les données de la configuration ne demande pas de mot de passe. Pour le corriger, il faudrait que Dropbox demande un mot de passe à chaque démarrage. Avec possibilité de l'enregistrer dans la trousseau MacOS. Comme ça, on peut donner une autorisation permanente à Dropbox d'y accéder, mais dès qu'on copie les fichier sur une autre machine, ça ne marche plus. Le souci je pense, c'est que ça obligerait les gars de Dropbox à faire des processus différents suivant les OS. Plus de boulot, mais pas impossible. Sinon, pour ce qui est de confier ses données, c'est pareil pour n'importe-quel logiciel que vous installez sur votre bécane, les gars. A partir du moment où un logiciel a une commande "ouvrir", ça veut dire qu'il peut accéder à tous les fichiers de votre ordi, et potentiellement les envoyer où il veut par internet. Le cloud le rend plus visible, mais n'a pas créé la faille. Les solutions : LittleSnitch, et des images-disque chiffrées pour les données sensibles. Simple, gratuit puisqu'intégré au système, et sûr.
avatar elamapi | 
Il y a une faille de sécurité sur toutes les cartes bleues, si quelqu'un a physiquement accés a votre carte bleu, il peut noter les numéros et s'en servir pour acheter sur le net ... faut supprimer toutes les cartes bleu. Il y a une faille dans les voiture .. si quelqu'un à physiquement accés a vos clef il peut vous la voler (meme sans en fait). faut arreter avec les propos alarmiste quand même. Surtout que si quelqu'un a accés physiquement à votre machine. 1) il a déja accés a vos fichier 2) il peux installer un keyloger le plus simplement du monde et vous prendre bien plus que vos image sur dropbox.
avatar 2fast | 
Ziflame "Je comprends que l'actualité est un peu plate ces derniers temps..." Tu m'étonnes ! C'est mort en ce moment. Vivement le début du NAB pour avoir du nouveau sur FCP
avatar rom54 | 
@Ziflame @oomu Concrètement qu'est ce qui vous pose problème avec le fait que je relève des problèmes de sécurité factuels liés au cloud et que je donne des conseils simples a mettre en oeuvre pour les minimiser? Utiliser Truecrypt est hypersimple. On veut mettre ses données sur un serveur dont on ignore tout, on veut mettre ses données sur une clef USB ou un disque portable, on place le fichier Truecrypt dessus et c'est tout... Utiliser systématiquement PGP avec Enigmail ou GPGMail pour Mail c'est simple et automatique: on installe, on edite ses clefs de cryptage, on peut meme simplement définir automatiquement quels sont les destinataire qui vont revoir des mails sécurisé ou pas. Je suis le premier a identifier que la première faille de sécurité en informatique c'est l'utilisateur et surtout son manque de connaissance des règles de sécurité et des risques existants, mais je suis aussi le premier à dire que l'utilisateur d'un ordinateur n'est pas sensé être ingénieur informaticien. Je déplore aussi que les gesticulations commerciales font en sorte de desinformer l'utilisateur, de manière ou non intentionnelle. Cela dit, il y a des solutions et des comportements assez simples pour sécuriser un minimum ses données informatique: quel mal y a t'il à les diffuser et qui provoque ces remarques ironiques ou sarcastiques? On peut réagir sur un forum ou dans ces commentaires autrement que de manière uniquement polémique et émotionnelle, non? Oomu, tu semble avoir de solides compétences en info, pourquoi ne pas en faire profiter les gens qui en ont moins et expliquer simplement ce qu'il faut faire afin d'avoir un débat constructif et utile au plus grand nombre?
avatar ErGo_404 | 
@rom54 : le problème c'est que la "faille" décrite dans cette news n'est ni une faille, ni liée au cloud. Or tu sembles dire que c'est un des problèmes du cloud. Ben non, en fait c'est un des problèmes de l'ordinateur, une fois que t'as accès au système de fichier t'as grosso modo accès à tout, en te donnant bien sûr plus ou moins de mal. Ceci dit ça n'enlève rien à l'intérêt de ta remarque sur le chiffrement de ses données :-)
avatar liocec | 
@ rom54 : Exactement Truecrypt est une bonne solution que j'utilise tous les jours, mais ce n'est pas à la portée de tout le monde ! Pour le commun des mortels, les solutions de cryptage ou le simple fait de taper un mot de passe toutes les 10 mn devient complexe.
avatar RUNTO | 
j'ai eu un PB il y a 1 mois 1/2 environ ou l'on a accédé à mon trousseau ou l'on m'as effacer tous les mots de passe (je pense que l'on y a accéder à partir de une ouverture crée par la Dropbox ) blocage de safari, j'ai vite débranché le câble adsl et me suis désabonné de la Dropbox en attendant + de sécurité ( je pense que la Dropbox étais en cause mais je ne peux pas l'affirmer enfin se genre d'intrusion est assez désagréable un peux comme un cambriolage .
avatar rom54 | 
@ ErGo_404 Je comprend ton point de vue, mais c'est celui d'une personne connaissant bien les principes informatique. La notion de faille de sécurité n'est pas uniquement liée à un défaut de réalisation technique, ca peut etre un defaut conceptuel ou une méconnaissance de l'information dont dispose l'utilisateur. En l'occurrence il y a défaut technique et non prise en compte de l'etat de connaissance de l'utilisateur. Le fait que la connexion automatique soit possible a partir de la récupération d'un fichier aisément accessible sur l'ordinateur est une erreur de conception. On retrouve ce type d'erreur de conception sur iOS ou l'on peut facilement récupérer les mots de passe de l'utilisateur d'une manière similaire. Dropbox devrait envoyer sur le net uniquement des données crytpées et accéder éventuellement a la clef de cryptage que de manière explicite et avec l'accord de l'utilisateur. De plus, dans ce type de logiciel il devrait y avoir systématiquement un système de log explicite pour l'utilisateur lui indiquant clairement la date, la duree et les données transmises. On peut aussi reporter la responsabilité sur l'OS qui devrait crypter les fichiers. OpenBSD dispose de ce mécanisme, mais pas OS X. L'utilisateur de base croit, très souvent, lorsqu'il enregistre son travail sur son disque, que ce travail est sauvegardé de manière sécure et personne ne peut y avoir accés sans utiliser son ordinateur. Ce qui est évidement faux. La plupart des utilisateurs n'ont même pas conscience de la précarité du stockage sur disque (quand ils savent encore ce qu'est un disque et a quoi il sert) et c'est pour ca que la majorité de fait jamais de sauvegarde ni d'archivage... OS X, prend maintenant en compte cette information sur l'utilisateur et implemente enfin un mécanisme de sauvegarde automatique avec TimeMachine, compensant la meconnaissance de l'utilisateur, et c'est un des rare système à le faire. De même la majorité des gens, lorsqu'ils envoient un mail ou un fichier par internet, ne se posent même pas la question de savoir sous quelle forme le message est envoyé, ou il va passer, s'il sera stocké, qui pourra y avoir accés, ect... Pour eux, ils écrivent et le correspondant reçoit! Le problème avec le cloud, va plus loin puisque le fournisseur a intérêt commercial à exploiter les données de l'utilisateur, pour du profilage social ou comportemental. De plus meme si le fournisseur ne fait pas cela, si il y a une faille technique dans son système, quiconque peut alors avoir accès aux données de l'utilisateur, sans que celui-si le sache et surtout sans qu'il ait conscience explicitement de ce risque. Il peux y avoir ainsi trois niveaux de faille. Si l'utilisateur crypte ses données, ce qui est simple, il se prémunit, au moins en partie de ces risques. Je ne pose pas la question de savoir si les informations ou les données de l'utilisateur sont sensibles et si leur interception est ou non préjudiciable, je ne fais qu'exposer les risques et dangers existants entre informatique/ sécurité des données/ vie privée et je tente d'y apporter des solutions simples (et en l'occurrence gratuites) et tout du moins une connaissance. @ liocec Qu'est ce qui fait que ce n'est pas à la porté de tout le monde? Une fois paramètré on "monte le disque" en donnant un mot de passe et on l'utilise comme n'importe quelle partition, la chose a faire c'est de "monter" le disque explicitement. Pour envoyer les données a quelqu'un on envoye le fichier Truecrypt a son correspondant. Ou est la difficulté?
avatar Seccotine | 
@ RUNTO Moi je pense plutôt une fichier corrompu. Je dis ça, je dis rien :p
avatar Ziflame | 
Seccotine : entre un secteur corrompu et un administrateur réseau corrompu, qui est le pire ? :-D
avatar Seccotine | 
@ Ziflame Les gens paranos ?
avatar rom54 | 
@RUNTO A priori cela ressemble plus a une corruption du fichier du trousseau d'accés. As tu essayé de réparer le trousseau avec le système de réparation intégré a l'application trousseau d'accés? Application trousseau, puis "SOS trousseau" (3eme item du menu de l'application) ou (option+command+a)? Et as tu lancé une vérification du disque et des autorisations avec l'utilitaire disque en démarrant à partir du dvd d'installation? Sinon ce que tu reportes la serait bien une grosse faille de sécurité... PS: y a aussi ClamXav, l'activation de ton firewall (preferences systéme/sécurtié/pare-feu) que tu peux utiliser...
avatar RUNTO | 
@ rom54 j'ai découvert à ce moment là la fonction de réparation du trousseau qui n a rien donnée. pour ce qui est des autorisations j'utilise en général Onyx pour Tiger et en cas de gros ménage j'utilise l'utilitaire du DVD. j'ai réparé les autorisations et le disk par le biais de l'Utilitaire .Un Imac G4 sous Tiger à peut être plus de faille qu'un Mac Intel récent ?? j'ai fais une réinstallation propre (j'ai un disk externe donc les dégâts ont été minime) changer les mots de passe mais bon çà prend du temps.
avatar liocec | 
@ rom54 : Il faut aussi créer un disque de départ (fichier ou partition) et sur Windows dans le cas où l'on souhaite installer le tout sur une clé, il faut lancer Truecrypt manuellement (nouvelle protection MS interdisant l'ouverture auto), et / ou sélectionner le fichier crypté, parfois choisir un disque (f: par ex), monter l'image... démonter l'image... Tout se fait automatiquement pour un initié, mais pour quelqu'un de "normal", c'est un peu compliqué.
avatar FloMo | 
Ça me fait penser à une faille toute bête de Linux et autres UNIX. Dans le chargeur de démarrage ( GRUB ) , il n'y a souvent pas de mot de passe et on peut passer des paramètres au chargement du noyau. Du coup, en chargeant le système au niveau d'initialisation juste avant le multi-utilisateurs, on n'a pas à saisir de mot de passe. "su root" suivi de "passwd" et le tour est joué. Tout ça pour dire que les failles les plus énormes sont accessibles dès qu'il y a un accès physique à la machine.
avatar David Latapie | 
Pour vérifier les machines connectées : dropbox.com/account#manage Attention : si vous délié et relié une machine (par exemple, pour passer d'un compte à un autre), elle apparait plusieurs fois. De même si vous avez renommé la machine côté machine (ex : "Macbook-de-Patrick" renommé en Mac-de-Patrick"). Donc, prendre garde. Ne pas se fier qu'à l'IP : dans une entreprise, plusieurs machines utilisent la même IP.

Pages

CONNEXION UTILISATEUR