Votre mot de passe Dropbox date d’avant 2012 ? Changez-le vite !

Christophe Lagane,

Dropbox invite ses utilisateurs à changer les mots de passes antérieurs à 2012. A cause d’un incident de sécurité vieux de 4 ans.

Pour l’instant, rien à signaler. Mais vaut mieux prévenir que guérir. C’est en ce sens que Dropbox demande à ses utilisateurs de changer leurs mots de passe antérieurs à 2012. « Si l’on en croit notre veille sur les menaces et en regard de la façon dont nous sécurisons les mots de passe, nous pensons qu’aucun compte n’a été visité illégitimement, explique le fournisseur de stockage en ligne sur son blog. Pourtant, à titre préventif, nous demandons à toute personne qui n’a pas changé son mot de passe depuis la mi-2012 de le mettre à jour la prochaine fois qu’elle se connectera. » Les utilisateurs concernés ont été, ou seront, directement notifiés.

Jusqu’ici tout va bien

Si tout va bien jusqu’à présent, Dropbox pense qu’un incident de sécurité survenu quatre ans auparavant pourrait aujourd’hui être exploité. Il s’agissait visiblement de vols d’identifiants et mots de passe utilisés depuis des sites tiers pour se connecter au service Cloud de Dropbox. Le compte d’un salarié de l’entreprise avait même été usurpé, ce qui avait surtout servi à mener des campagnes de spam. Un moindre mal tant que lesdites campagnes ne véhiculent pas de tentatives de phishing. Signalons que, pour palier le vol de mot de passe et assurer la récupération du compte au besoin, Dropbox prône la double authentification (avec un code supplémentaire à 6 chiffres à garder précieusement, évidemment pas sur le service de stockage en ligne).

La mésaventure de Dropbox rappelle celle de LinkedIn, que le service de stockage dans le Cloud se garde toutefois d’évoquer. En 2012 également, le réseau social réseau demandait à 6,5 millions de ses utilisateurs de changer de mot de passe suite à un vols massifs d’identifiants. Plus récemment, un pirate a mis en vente sur le darkweb une base de donnée comprenant 167 millions de comptes LinkedIn qui auraient été dérobés en 2012. Malgré la période séparant les deux événements, nombre de comptes restaient accessibles avec les login et password vieux de 4 ans. Une mésaventure que Dropbox n’a évidemment nullement envie de faire subir à ces quelque 500 millions d’utilisateurs, dont 200 000 comptes d’entreprises.

Lire également
1 salarié sur 5 prêt à vendre ses mots de passe professionnels
Les changements fréquents de mots de passe nuisent à la sécurité
Pour le FBI, un Russe a bien volé 1,2 milliard d’identifiants

Photo credit: IN 30 MINUTES Guides via Visualhunt.com / CC BY