Ce sont les données de 68 millions de comptes Dropbox qui avaient fuité

Stéphane Moussie |

La semaine dernière, Dropbox a réinitialisé par précaution des mots de passe remontant à 2012 ou plus en raison d'une fuite intervenue à cette époque.

Motherboard révèle aujourd'hui que la fuite était massive, puisque ce sont des données sur pas moins de 68 680 741 comptes qui avaient été subtilisées. Dropbox, qui a confirmé l'authenticité des 5 Go de données recueillies par le site, assure qu'aucun de ces comptes n'a été piraté.

Près de 32 millions de mots de passe ont été protégés avec l'algorithme de hachage fort bcrypt. Le reste a été haché avec l'algorithme SHA-1, qui n'est plus considéré comme assez sûr, mais également salé (une donnée supplémentaire est ajoutée), renforçant ainsi la protection.

Quoi qu'il en soit, si votre mot de passe Dropbox date de 2012 ou d'avant, il est recommandé de le changer. Profitez-en pour activer en même temps la validation en deux étapes.

avatar Jeckill13 | 

Garder le même mot de passe pendant 4 ans c'est quand même pas très prudent ! Et si en plus on utilise le même partout on cherche les problèmes ! Et si en plus on utilise des valeurs "faciles" genre azerty ou sa date de naissance et autres événements récupérables sur les réseaux sociaux… on passe sur le suicidaire !

avatar madaniso | 

@Jeckill13 :
Quand tu vois que zuckerberg s'est fait hacker. Sécuriser davantage ne sert pas à grand chose, se sera juste un plus grand défi pour nos amis hackers.

avatar Jeckill13 | 

@madaniso :
Déjà on ne connais pas comment il s'est fait hacker. Les méthodes sont vraiment vastes, si ça se trouve c'est directement depuis sa machine par un "collaborateur" … et sinon oui je suis d'accord que tous verrou possède une clé … ou un pied de biche pour l'ouvrir. La différence entre nous et Zukerberg c'est l'intérêt et le profit qui peut en découler. Si déjà on met un mot de passe fort, perso 21 élément avec chiffres/symbole/majuscule et chaque élément unique, qu'on utilise pas le même pour tous les identifiants et qu'on ajoute la validation a deux étapes et qu'en plus on le change tous les x temps, perso tous les 3 mois, on va demander beaucoup de travail pour un bénéfice pas forcément très rentable. Et si tu ajoutes de ne pas cliquer sur tous liens et pièces jointes reçu par mail …

avatar madaniso | 

@Jeckill13 :
La double authentification, c'est vraiment gadget. Je sais pas si tu regardes Mr Robot.

avatar le ratiocineur masqué | 

C'est sur que ce que l'on voit au cinéma est la représentation exacte de la réalité.

avatar madaniso | 

@le ratiocineur ... C'est pas du cinéma, c'est une série et elle parle du social engineering au quotidien. Du nombre de failles qu'on laisse ouvertes au quotidien sans s'en rendre compte.

Après si tu passes ton temps à regarder des séries, sache qu'ils en existent de très bien, je rajouterai Silicon Valley même si c'est une comédie, il y a des choses intéressantes derrière.

Et puis qu'est ce que le réel ? Ce que vous pensez possible ? Alors votre vision du réel est très limitée.

avatar vrts | 

@le ratiocineur : la prochaine fois regarde la serie avant d'en parler... Sur Mr Robot, toutes les manip' de hack faites à l'ecran sont vraies, gros boulot de consulting avec des hackers compétants, experts en sécurité et des anciens du FBI.

avatar C1rc3@0rc | 

@le ratiocineur ...

Dans la realité c'est tellement plus facile et simple...

Sinon, on va faire copier 1000 fois aux dirigeants de Dropbox:
J'encloude le cons
tu encloudes le cons
il encloude le cons
nous encloudons le cons
vous encloudez le cons
ils encloudent le cons

«cons» n'etant pas une erreur de pluriel a la place d'un singulier mais bien le terme officiel permettant de designer le consommateur cible dans l'enseignement des classes de marketing (haute ecole de commerce en particulier)

Bon au moins les données on ete pseudo-chiffré avec SHA-1 (meme plus bon pour faire des cles de controle d'integrité de fichiers), ça prouve au moins qu'ils ont fait, a l'inverse de la majorité, un petit effort de securisation interne... Sinon ça confirme aussi que les données dans le cloud sont accessibles a n'importe qui, meme pas besoin de porte derobée.

avatar Strophoide | 

@madaniso :
C'était "dadada" sont mot de passe non ?

avatar madaniso | 
avatar Strophoide | 

@madaniso :
Apres c'est eux qui ont dit ça. Je sais pas ce qu'il en est.

avatar lmouillart | 

"Quoi qu'il en soit, si votre mot de passe Dropbox date de 2012 ou plus, il est recommandé de le changer." Y compris sur les comptes utilisant le même mot de passe donc.

avatar melaure | 

Profitez-en pour fuir le cloud surtout ;)

avatar starrk13 | 

@melaure :
Tout à fait d'accord avec toi, ses affaires ont les ranges dans son armoires pas dans l'armoire d'un autre.

avatar bompi | 

D'un autre côté, si les données que tu stockes sont elles-mêmes chiffrées de manière adéquate, le risque devient minime.

On peut ainsi s'amuser à :
- prendre une image disque chiffrée au chiffrement maximum
- chiffrer cette image disque avec un autre mot de passe/d'autres clefs et une autre méthode (il y en a)
- ensuite déposer le résultat quelque part (dropbox ou ailleurs).

Normalement, ça devrait suffire...

Avant de déchiffrer le contenu de l'image disque

avatar Strophoide | 

Cryptomator fait la job.

avatar Espcustom | 

Vu ce que j'y met sur ma Dropbox...photos de vacances et de baptême, bien moins croustillant que des starlettes à poils !

avatar jerry75 | 

Les gars vous êtes mignons avec tous vos délires de cryptage et autre, sauf que le mec lambda, comme moi et 95% des gens on a envie que tout soit simple et accessible.
Alors les NAS et les programme de cryptage ça dépasse trop de monde pour être valable ! De même qu'un mot de passe complexe qui saoule quand tu le tape 20 fois par jours ...

CONNEXION UTILISATEUR