Dropbox : brève faille dans l'authentification

Florian Innocente |
Dropbox fait état sur son blog d'un nouveau problème de sécurité qui a touché le système d'identification de son service de synchronisation. Pendant un peu moins de quatre heures, (cette nuit en France) suite à une intervention logicielle, les comptes utilisateurs sont devenus accessibles sans mot de passe. Il suffisait de connaître l'adresse e-mail servant d'identifiant pour se connecter.

Dropbox explique avoir corrigé cette faille dans les cinq minutes qui ont suivi sa découverte. Il minimise aussi l'impact possible, expliquant qu'à ce moment là, 1% des utilisateurs étaient connectés. Par précaution, les comptes ont été tous verrouillés par défaut, obligeant à se réidentifier. Des vérifications supplémentaires sont en train d'être effectuées pour vérifier qu'il n'y a pas eu d'abus, les personnes qui étaient connectées durant cette plage horaire vont être contactées directement.

Sur le même sujet :
Dropbox fait le point sur la sécurité

Tags
avatar initialsBB | 
Des failles et problèmes de sécurité il y aura toujours, j'apprécie d'autant mieux une franchise totale et une réactivité exemplaire.
avatar elamapi | 
Pareil. Au moins on sait à quoi s'attendre.
avatar 8enoit | 
[s]test[/s]
avatar outadoc | 
@ initialsBB : +1. Ils ont pas été spécialement réactifs, mais ça a été fixé du mieux qu'ils pouvaient.
avatar Stalmicmac | 
pas réactifs? la faille a été corrigée dans les 5 mins après ça découverte (d'après l'article).
avatar just1 | 
Profitez de 250 mo d'espace en plus et GRATUITEMENT sur DropBox, en suivant ce lien de parrainage : http://db.tt/YfSxLkv Enjoy!
avatar Ali Baba | 
@ just1 : Lourd.
avatar outadoc | 
@ Stalmicmac : Et exploitable pendant 4h.
avatar ric_anto | 
On peut leur reprocher le temps de réaction (certes corrigée en 5min... mais 4h pour la découvrir !) mais au moins ils ont l'honnêteté de le dire. Ils auraient très bien pu se taire, je doute que qqn s'en serait rendu compte :-)
avatar Lecompas | 
[quote=outadoc]ça a été [u]fixé[/u] du mieux qu'ils pouvaient[/quote]… franglais? [i]to fix[/i] veut bien dire - réparer -. Sinon maintenir en place une faille, la fixer quoi, n'est pas vraiment souhaitable ;-) Oui, je suis là pour cheker les fail :-)
avatar Trudo | 
Moi je ne mettrais pas tout dans le cloud. Mais ils ne sont pas plus cons que les programmeurs de la Citibank qui ont mis le numero de client dans l'url. http://consumerist.com/2011/06/how-hackers-stole-200000-citi-accounts-by-exploiting-basic-browser-vulnerability.html
avatar liocec | 
Grave, très grave mais honnête. Bon, en conclusion, le cloud c'est bien mais pas pour des données privées genre les plans de la nouvelle Renault électrique...
avatar just1 | 
@ Ali Baba : Léger!
avatar Anonyme (non vérifié) | 
S'il faut saluer la réactivité et la franchise de DropBox, il va falloir tout de même s'interroger sur la sécurité réelle et contrôlée (pas simplement annoncée) de toutes les applications de stockage en ligne. Apple impose sa solution iCloud, et tant que la sécurité totale et certaine ne sera pas PROUVÉE, je ne vois pas pour quelle raison je stockerais en ligne un quelconque document privé.
avatar fredseg | 
Pour ma part il m'est arrivé d'oublier de fermer la porte de mon appartement. Je l'ai découvert au bout de 4 h (en revenant du travail). J'ai réglé le problème dans les cinq minutes. Aucune donnée sensible ne m'a été dérobée. Soyons sérieux, le problème des failles de sécurité n'est pas spécifique du stockage en ligne, mais est spécifique de tous les processus humains. A ce jour, il n'existe pas de statistique permettant d'affirmer que le vol de document serait plus facile en ligne qu'à mon domicile ni même qu'au coffre de ma banque. Le problème des failles de sécurité du stockage en ligne me fait penser aux crash d'avion. Ça fait peur, mais l'avion reste le moyen de transport le plus sûr. Le stockage en ligne c'est pareil, ça fait peur, mais c'est sûrement plus sûr que le stockage non redondant à la maison.
avatar Shralldam | 
@ Ali Baba : Laisse tomber... Il a déjà dit qu'il "faut de tout pour faire un monde". Ça l'autorise donc à être un gros boulet... Et nous, on passera pour des grincheux.
avatar cazanova | 
Pour se protéger, j'ai un copain qui m'a donné cette adresse, c'est plutôt pas mal fait : http://www.nchsoftware.com/encrypt/index.html

CONNEXION UTILISATEUR