Publicité
Motherboard

Des hackers ont volé les identifiants de plus de 60 millions de comptes Dropbox

Cette affaire avait été révélée en 2012, mais nous ne savions pas combien d’utilisateurs avaient été affectés par la brèche de sécurité jusque-là.

par Joseph Cox
01 Septembre 2016, 8:18am

Image: Shutterstock

Des hackers ont réussi à se procurer les identifiants et mots de passe de plus de 60 millions de comptes Dropbox, la célèbre plateforme de stockage de données en cloud. Cette affaire avait été révélée en 2012 et Dropbox affirme qu'il a depuis forcé la réinitialisation des mots de passe en question. Cependant, nous ne savions pas combien d'utilisateurs avaient été affectés par la brèche de sécurité jusque-là.

Motherboard s'est procuré une version des fichiers piratés, qui contiennent une liste vertigineuse d'adresses mails et de mots de passe hachés. Il s'agit de quatre fichiers contenant en tout 5GB de données sur les informations de connexion de 68 680 741 comptes. Ces données sont authentiques, selon un employé de Dropbox.

En début de semaine, Dropbox a annoncé qu'il avait forcé la réinitialisation de mot de passe utilisateurs après avoir retrouvé la trace de comptes en lien avec la brèche de 2012. La société n'a pas révélé combien de mots de passe avaient été réinitialisés en tout, mais a précisé qu'elle avait pris cette initiative seule et que les utilisateurs n'avaient pas eu à intervenir.

« Nos équipes de sécurité sont constamment à l'affût de nouvelles menaces. Dans le cadre de cette veille, nous avons détecté un lot de données utilisateur Dropbox (adresses e-mail et mots de passe hachés) obtenus en 2012. Notre analyse suggère que ces données sont issues du hack que nous avons divulgué cette année-là, » nous écrit Dropbox.

Motherboard a obtenu l'ensemble des données issues de la brèche de sécurité de 2012 par l'intermédiaire du service Leakbase, et a pu identifier de nombreux utilisateurs réels dans le lot en question.

« Nous avons confirmé que les réinitialisations de mot de passe ont été achevées la semaine dernière et que tous les utilisateurs susceptibles d'avoir été affectés par la brèche de sécurité ont été couverts, » a déclaré Patrick Heim, à la tête du service de Confiance et de Sécurité de Dropbox. « Cette mesure de précaution nous assure que les mots de passe datant de mi-2012 ne pourront pas être utilisés pour accéder à des comptes Dropbox. Nous encourageons les utilisateurs qui auraient utilisé le même mot de passe sur d'autres services à le réinitialiser. »

Un porte-parole de Dropbox a affirmé à Motherboard que les comptes en question n'avaient pas essuyé de tentative de piratage récemment.

Près de 32 millions de mots de passe sont sécurisés à l'aide de la fonction de hachage bcrypt, qui est particulièrement robuste ; il est donc peu probable que les pirates aient été en mesure d'obtenir les mots de passe réels (non hachés) des utilisateurs. Les comptes restants ont de toute évidence été hachés à l'aide de SHA-1, un algorithme plus ancien. Le hachage a été complété par l'ajout d'un « sel » une chaîne aléatoire permettant de renforcer le processus.

Dropbox a changé ses méthodes de sécurisation à plusieurs reprises depuis 2012, dans le but d'assurer l'intégrité des mots de passe utilisateurs.

Le lot de données de 2012 ne figure sur les principaux marchés du dark web, où il aurait pu être vendu : la valeur de ce genre d'informations s'effondre après que les mots de passe ont été sécurisés de manière adéquate. Un pirate a cependant confié à Motherboard qu'il était déjà en possession des mots de passe réels.

Ceci n'est, malheureusement, qu'une des grosses affaires de piratage de l'été. Des centaines de millions de données d'identification en provenance de LinkedIn, MySpace, Tumblr, et VK.com ont récemment été vendues et échangées entre pirates.