Faille de Dropbox : 100 comptes et 1 visiteur

Florian Innocente |
Dropbox a donné des détails sur les conséquences de la faille de sécurité qui a touché son service de synchronisation la semaine dernière. À la suite d'une maintenance d'ordre logicielle, et pendant quatre heures, il fut possible de se connecter à n'importe quel compte utilisateur avec simplement son identifiant (un email), le mot de passe étant devenu accessoire (lire Dropbox : brève faille dans l'authentification).

Dropbox a contacté par mail (dont TechCrunch publie une version) les utilisateurs dont les comptes ont connu un accès durant cet intervalle. Un peu moins de 100 comptes auraient été visités par une seule personne qui a mis à profit la découverte de cette faille. Certains clients ont reçu une lettre indiquant qu'aucun fichier n'avait été modifié, mais qu'ils avaient pu être lus ou téléchargés. Dropbox n'enregistrant pas ces activités. D'autres clients auraient reçu une missive précisant si des fichiers ont été effectivement manipulés.

Dropbox, par la voix de son PDG, donne ensuite quelques conseils d'usage selon que l'on a placé des données importantes ou non dans sa Dropbox (numéros de carte de paiement par exemple).

http://static.macg.co/img/2011/6/dropboxletter-20110627-151748.jpg

Tags
avatar ricchy | 
Il y a des personnes qui mettent leur n° de carte sur internet avec ce genre de service ? Autant donner les clefs de chez soi. 0,0
avatar Dr Troy | 
Ça relève de la stupidité de laisser des informations importantes type numéro de CB sur des services de stockage en ligne non pro ou sans crypter les dits fichiers.
avatar vimac | 
@ricchy il existe des milliers de site web qui conservent les coordonnées bancaires de leur client. Pour avoir de nouveau eu une mauvaise surprise de renouvellement automatique d'un service dont je ne voulais plus, je me suis souvenu que je paierai de nouveau systématiquement avec une e-carte bleue à usage unique pour mes achats en ligne !
avatar just1 | 
Profitez de 250 mo d'espace en plus et GRATUITEMENT sur DropBox, en suivant ce lien de parrainage : http://db.tt/YfSxLkv Enjoy!
avatar bugman | 
Et bien !... et vive le cloud (lol) ! Edit : Avant de me sauter dessus : je parle d'une façon générale... (pour ceux qui trouve cela super la délocalisation des fichiers locaux).
avatar Remy68 | 
Qui a mis son numéro de compte dans dropbox? Merci ! LOL :-)
avatar AirForceTwo | 
Les protections via SMS sont spécifiques à la France et ses fameuses "cartes bleues". Ailleurs, ce n'est pas le cas, mais par contre les grands organismes de crédit tels que Visa, Mastercard ou Amex prennent en charge 100% des responsabilités en cas d'utilisation frauduleuse. Le seul risque est pour ceux qui ne regardent pas leurs relevés de compte.
avatar AirForceTwo | 
Mettre des données sensibles sur DropBox est une pratique très courante. L'intérêt de ce service, c'est d'accéder à ses données depuis n'importe où, et les mots de passe, numéros de compte et autres digicodes sont justement ce dont on a souvent besoin quand on est à l'extérieur.
avatar Anonyme (non vérifié) | 
@HyperBallad La protection SMS n'est pas restreinte à la France, mais aux cartes "enrollées" 3DSecure : http://fr.wikipedia.org/wiki/3-D_Secure Après, chaque banque implémente la vérification 3D à sa manière (SMS, code supplémentaire, date de naissance ou grille de code)
avatar Akril | 
Je dis pas que c'est mieux mais sur Wuala c'est crypté avant l'envoi.
avatar Olivier Simard-Casanova | 
@bugman Remettre en question le cloud sur la foi d'un incident manifestement aussi minime me parait excessif. Je ne dis pas qu'il ne faut pas s'inquiéter, mais attention à ne pas non plus aller trop loin.
avatar expertpack | 
Cependant cela met en evidence la grande fragilité de ce type de stockage. Dropbox n'etant pas un acteur mineur, cela laisse perplexe a deposer des fichiers a tout va. Que disent les CGU de dropbox ? Qui a regardé le recourt du client en cas d'indisponibilité du service ? Que devient le client en cas de fuite ? Pas clair me semble-t-il...
avatar iDuck | 
J'utilise Dropbox et j'en suis très satisfait. Mais j'évite soigneusement d'y mettre des données trop sensibles.
avatar AirForceTwo | 
@maverick2001 Oui je comprends bien. Mais dans les faits, je n'ai jamais vu la protection SMS activée ailleurs qu'en France. Et d'une manière généralisée, la protection 3D est encore bien rare.
avatar Cekter | 
Ça promet pour le cloud. Parce qu'en toute logique si l'utilisation du cloud se généralise, le piratage massif des données cloudées se généralisera également. Et la solution sera donc de faire encore plus attention à ce qu'on stockera dessus par rapport au stockage sur clef ou sur dd. Beau programme : vos données accessibles partout mais seulement les plus useless. Tip top.
avatar bikoz | 
Dire que c'est la méthode officielle pour synchroniser ses données 1Password, ça fait peur !
avatar 12marie | 
Pourquoi ne pas se servir d'une application sécurisée : avec mot de passe et identifiant, sur son iPhone , j'y ai tous mes codes. Idem sur l'iPad par sécurité, en doublon, sur la même application. Accessible partout.
avatar ErickH67 | 
@bikoz Le fichier généré par 1password est crypté. Sans le mastercode, tu ne peux rien en faire. Donc, si tu comprends bien, tu peux prendre mon fichier 1password, mais tu ne pourras pas utilisé les données cryptées par 1password.
avatar ce78 | 
A comparer au nombre de vols commis chaque année dans les habitations, ou aux vols de portefeuilles..
avatar bugman | 
@ cekter : C'est clair. @ 12marie : +1 aussi... ou alors crypter ses données sensibles avant de les envoyer (mais bon, cela devient vite lourd quand on à souvent besoin de ses données). La clé USB reste encore à mon avis la meilleure méthode.
avatar Malcolmm | 
@ ricchy :"Il y a des personnes qui mettent leur n° de carte sur internet avec ce genre de service ? Autant donner les clefs de chez soi." C'est justement parce qu'ils n'ont pas de cerveau . Pour les clefs ? A tous les coups sous le paillasson .
avatar Kouiki | 
@ bugman : +10 Ce qui devait arriver arriva.. Et qu'importe que ça ait duré 1h ou 5h, que certains y aient placé des données confidentielles ou non, le résultat est là! Le Cloud c'est bien gentil mais avec beaucoup de précautions et en connaissance de causes (comme l'Internet de manière générale).
avatar domd | 
(HS) @ Macge Pourquoi ne virez vous pas ces commentaires just1 peu lourds ? (/HS) Finalement cela rappelle qu'on ne laisse rien trainer de valeur dans sa voiture si on est pas tout près. Mais je pense (j'espère) quand même que ceux qui laissent des fichiers sensibles a distance les cryptent ...
avatar bikoz | 
@ErickH67 Si je comprends bien, c'est censé être infaillible et donc tu serais prêt à mettre en ligne ton fichier 1Password (en accès libre), c'est bien ça ? Personnellement, il y a des risques que je préfère ne pas prendre.
avatar expertpack | 
@12marie et qui te dis que ton code n'est pas transmis a l 'editeur et donc suceptible d'etre detourné ?
avatar expertpack | 
en bref , on met sur le cloud quoi ? pas des données du boulot , pas des fichiers de données , pass, adresse , ni photo au risque de les retrouver volées . tout cela ne vaux pas effectivement une bonne clef , que l'on emporte partout
avatar niclet | 
@ bikoz : Exact !
avatar ricchy | 
@ HyperBallad : En suisse nous avons les confirmations de code par SMS Visa, ma banque. ^,^
avatar Un Vrai Type | 
@Malcolmm : Tu exagères un peu... Ma voisine les met dans la fausse pierre achetée exprès pour ça... C'est facile à reconnaitre, c'est la seule grise (en plastique) avec un rectangle noir dessus pour la trappe. :D
avatar Rankmaster | 
Je me demande si je vais apas aller chez Wuala moi... car je mets des infos personnelles ... m'en fou si on les voit mais quand même c un peu dérangeant cette histoire.

CONNEXION UTILISATEUR