La semaine dernière, Dropbox annonçait la réinitialisation des mots de passe utilisateurs inchangés depuis 2012. Une action « préventive » qui a précédé la révélation que 68 millions d'identifiants de l'époque sont dans la nature, comme le confirme l'entreprise.
Dropbox semble maitriser l'art de l'euphémisme à la perfection. Il y a quelques jours, le service de stockage de fichiers a forcé la réinitialisation des mots de passe des comptes qui ne les avaient pas changés depuis la mi-2012. La société expliquait avoir « entendu parler de vieux couples d'identifiants Dropbox (adresses e-mail et mots de passe hachés et salés) » potentiellement dans la nature. Elle a donc lancé une réinitialisation « préventive » de ces données.
Des données vieilles de quatre ans et obsolètes
Hier, le site américain Motherboard a révélé que ce sont 68 millions d'identifiants qui sont disponibles en ligne. La véracité des informations leur a été confirmée par un employé de l'entreprise, puis par le spécialiste Troy Hunt.
Selon ce dernier, 32 millions de mots de passe ont été hachés avec l'algorithme bcrypt, jugé sûr aujourd'hui, quand le reste l'a été avec SHA-1, dont la sécurité est actuellement bien plus sujette à caution. Reste qu'ils ont également été salés, c'est-à-dire mélangés avec des caractères aléatoires, ce qui rend tout décryptage bien plus difficile.
À l'époque, en 2012, Dropbox indiquait que des identifiants volés sur d'autres sites avaient été utilisés pour s'identifier sur plusieurs comptes utilisateurs. L'un d'eux, celui d'un employé, contenait un document de projet avec « des adresses email d'utilisateurs ».
Dropbox rassure sur l'exploitation de ces mots de passe
Contacté, Dropbox nous indique que « notre analyse confirme qu'il s'agit d'emails et de mots de passe hachés et salés obtenus avant la mi-2012 ». La société tient à ajouter que la réinitialisation forcée la semaine dernière a bien concerné l'ensemble des comptes affectés, à savoir ceux dont le mot de passe est le même depuis plus de quatre ans. Elle indique ne pas avoir détecté d'activité malveillante résultant de cette fuite.
L'entreprise invite tout de même ses utilisateurs à la vigilance quant au spam et aux tentatives de phishing qu'ils pourraient recevoir. Elle invite également les internautes à activer l'authentification à deux facteurs sur Dropbox et l'ensemble des services qui le proposent, et bien entendu ne pas utiliser le même mot de passe sur plusieurs sites.
Commentaires (20)
sha-1 est rapide, donc, c’est “facile” de retrouver par brute force un mot de passe conçu par un humain feignant. hashcat est fait pour et teste plus 1 milliard de mot de passe par seconde.
bcrypt est fait pour être très lent, genre 10 ms sur une machine normale (soit 100/s). Donc même pour hashcat, cela devrait être bien plus lent que pour sha1, je n’ai pas trouvé les chiffres.
Elle invite à (…) ne pas utiliser le même mot de passe deux fois.
Jamais réussi à me reconnecter avec un mot de passe différent…
Bon, suis concerné, malgré tout.
J’ai effectivement reçu un mail de chez-eux, je ne me souvenais même pas m’y être inscrit car je n’y vais jamais…
" />
ca craint une fois de plus quoi :/
De toute façon avec une boîte qui a Condoleezza Rice sur son CA, on peut être certain que tout ce qui en sort en terme d’annonces, c’est du pipeau de 1ère classe.
Moi tout ce que je demande à Dropbox c’est de stocker mes photos et vidéos, comme ça je les ai à la fois sur la mémoire de mon téléphone, sur iCloud, sur Flickr et sur Dropbox. Si tu avec ça je perds des photos de famille j’y comprends plus rien. Après que ça soit pas inviolable et qu’un pirate aille chercher les photos de mon chien je m’en tape. Les gens qui stockent des donnes sensibles sur Dropbox c’est ceux là qui ont un sérieux problème
M’en fiche, mon DropBox est toujours vide - je prends immédiatement ce que les copains envoient, et ils font de même.
Quarte ans après les faits, de nombreux utilisateurs ont abandonné leur compte mail. Certains services de mail recyclent les adresses non utilisées. Aussi, si la même adresse email a été créée par la suite, Dropbox vient d’inviter des utilisateurs illégitimes à définir un mot de passe d’un compte qui n’est pas le leur. Clairement, ce n’est pas quatre ans plus tard qu’il faut agir, mais dès que la faille est avérée.
Ceci dit, le mot de passe devra un jour disparaître au profit d’autres systèmes. De trop nombreux utilisateurs réutilisent les mêmes mots de passes sur plusieurs sites, ou qui utilisent des mots de passes courts, non aléatoires, voire susceptibles d’être aisément devinés. Quant à l’usage d’outils de trousseau de clés (LastPass, Dashlane, 1Password, KeePass…), il reste encore exceptionnel.
Comme les mails de FAI : quelqu’un chez Orange à l’époque ([email protected]), chez Free aujourd’hui ([email protected]) aura quelques soucis.
" />
" />
" />
Pour le retard de 4 ans, le hic, c’est que bien souvent les services hackés ne sont pas au courant qu’il y a eu une fuite quelque part … mais ne le découvrent que quand les données sont échangées/vendues sur internet.
Dropbox a averti les utilisateurs et forcé la réinitialisation du MdP. C’est bien*. Mais des pelletées d’autres sites ne réinitialisent pas les MdP, voire n’avertissent pas les utilisateurs …
Pour le choix du MdP, si le sujet t’intéresse, voici un article qui fait un peu peur sur les habitudes des gens.
* Par contre, ils n’ont pas révoqué les tokens des applications connectées
il vraiement falloir changer ce système de mot de passe…
Qu’est-ce que c’est que cette “nouveauté” idiote
" />
" />
Nous vous informons que l’affichage des fichiers HTML dans un navigateur via les liens partagés ou le dossier Public ne sera plus pris en charge. Si vous utilisez des liens partagés Dropbox pour héberger des fichiers HTML, leur contenu ne s’affichera plus dans un navigateur.
Cette modification prendra effet le 3 octobre 2016. Elle ne concerne que l’affichage Web des fichiers partagés. Vos fichiers resteront en lieu sûr dans Dropbox.
mail reçu ce matin
Moi ce qui me tue c’est qu’un employé de Dropbox ait un fichier avec les adresses mails des clients sur son dropbox…
C’est pas logique de sortir des données aussi sensible …
C’est pas faut pour le token des apps ^^
j’ai changé le mdp ce week-end, vu que j’ai eu le mail de DB en fin de semaine dernière.
j’ai “un peu” augmenté la longueur de la chaine de caractères utilisée.
Déjà que c’était pas mémorisable, la c’est encore pire.
trop de page web de phishing et de pirate, plus facile de virer l’affichage chez tout le monde, que de se battre avec les éditeurs de logiciel de sécurité et les pirates
ben oui mais perso j’y hébergais juste du html tout simple(fait à la main dans notepad, c’est pour dire
" />) : liste de bande dessinés, comics etc et leurs contenus 
" />
vais devoir chercher un truc pour remplacer
compte supprimé avec petit message sympa pour la raison