Dropbox : de nouvelles mesures de sécurité

Florian Innocente |
Dropbox a mis en place une page de suivi de l'activité de son compte, suite à un accès non autorisé constaté en interne. Une mesure de sécurité qui est (ou va être) complétée par d'autres.

En suivant ce lien, on accède à un historique des accès effectués dans sa Dropbox par des ordinateurs, téléphones et tablette. Avec une localisation par pays et une date ou une période horaire.

On peut renommer les machines en question (pour plus de lisibilité lorsqu'il s'agit de clients réguliers), connaître leur adresse IP (et numéro de version du logiciel Dropbox utilisé).

On peut surtout rompre leur attache à votre compte. Chose que l'on peut déjà faire avec le client logiciel (Préférences > Compte)… pour peu qu'on ait l'ordinateur en question sous la main. Au passage, si vous utilisez Gmail, Google propose une page similaire pour regarder qui a accédé à votre messagerie (lien 'Dernière activité sur le compte' en bas à droite dans l'interface web).



Dropbox va également instaurer ces prochaines semaines un système d'authentification à deux niveaux, associant par exemple un code envoyé par SMS en plus de votre mot de passe. Des utilisateurs qui n'ont pas changé de mot de passe depuis longtemps recevront peut-être aussi une invitation à le faire.

Cette panoplie de mesures fait suite à un incident constaté il y a 15 jours. Des utilisateurs de Dropbox s'étaient plaints de spam reçus sur des adresses utilisées uniquement pour Dropbox. Ce dernier a fait aujourd'hui une mise au point :

« Notre enquête a révélé que les noms d'utilisateurs et mots de passe récemment volés provenaient d'autres sites et ont été utilisés pour se connecter à un petit nombre de comptes Dropbox. Nous avons contacté ces utilisateurs et les avons aidés à protéger leurs comptes.

Un mot de passe volé a été aussi utilisé pour accéder au compte Dropbox de l'un de nos employés qui contenait un document pour un projet, avec des adresses email d'utilisateurs. Nous pensons que c'est cet accès frauduleux qui a conduit au spam. »

La société va également déployer des mécanismes de détection automatique d'accès frauduleux sur les comptes de ses utilisateurs.

Tags
avatar lmouillart | 
De ce que je lis, il faudrait surtout qu'ils revoient leur gestion de données confidentielles et l'anonymisation de celles-ci.
avatar lectonet | 
J'adore la politique de sécurité !! Il faut toujours attendre un incident pour faire évoluer les choses !
avatar treizep | 
Le cloud c'est un peu comme facebook ? Un moyen de partager ses données personnelles avec des inconnus ? ===> [.]
avatar Applerider | 
@treizep : y'a du vrai....
avatar nemrod | 
Et la dite page inaccessible ...
avatar karayuschij | 
"All computers, phones, and tablets that have access to your Dropbox appear here." Ça veut dire : « Tous les ordinateurs, téléphones, et tablettes qui ont accès à votre Dropbox apparaissent ici » Et donc c'est la liste « normale » des machines qui sont autorisées à accéder à la Dropbox. Mais ça ne m'indique nullement qui a essayé d'accéder à ma Dropbox, donc à cette fin je n'en vois pas trop l'utilité. Une page "All computers, phones, and tablets that have [b]tried[/b] to access to your Dropbox appear here." montrant les machines non autorisées ayant tenté un accès serait plus approprié je pense
avatar Zouba | 
@karayuschij Ils se sont rendu compte d'une faiblesse quand un utilisateur se sert du même mot de passe sur plusieurs services. Il ne faut donc pas seulement afficher la liste des tentatives de connexion à Dropbox mais de toutes les connexions pour pallier ce problème !
avatar oMc | 
Si je ne m'abuse cette page existe depuis un petit moment...
avatar iGates | 
Sur Gmail cela existe depuis plus de 2 ans.
avatar Mathias10 | 
Il y a aussi des boulets, un gars que je connais (client malhonnête) a trouvé (oui trouvé comme on trouve une pièce) un macbook pro flambant neuf l'année dernière et dedans la dropbox du mec était encore synchronisée même 6 mois après. Bien entendu, je n'ai pas noté l'adresse mail du mec mais je sais que s'il se manifeste je me ferais à coeur de lui balancer qui a son bijoux après vérification de son histoire.
avatar BSG75 | 
@mathias10 : votre histoire n'est pas très compréhensible... si on "trouve" quelque chose et qu'on est en mesure d'identifier le propriétaire, mais qu'on décide de ne pas le faire et de garder pour "soi", ça s'appelle du vol. et quand on a connaissance d'un délit, et qu'on choisit de se taire, ça s'appelle de la complicité.

CONNEXION UTILISATEUR