Dropbox : une cyberattaque révèle une failles de sécurité

Posted On 05 Mai 2024

Le géant du stockage en ligne, Dropbox, a récemment été pris dans la tourmente suite à une cyberattaque majeure qui a mis à nu les données personnelles de ses utilisateurs. Cette révélation a secoué la confiance des utilisateurs et a mis en lumière les défis persistants auxquels sont confrontés les services en ligne en matière de sécurité.

« Le 24 avril, nous avons découvert un accès non autorisé à l’environnement de production de Dropbox Sign (anciennement HelloSign). Après une enquête approfondie, nous avons constaté qu’un acteur malveillant avait accédé aux informations des clients de Dropbox Sign, telles que les adresses e-mail, les noms d’utilisateur, les numéros de téléphone et les mots de passe hachés, ainsi que des paramètres de compte généraux et certaines informations d’authentification telles que les clés API, les jetons OAuth et l’authentification multifacteur. » a pu lire ZATAZ dans un billet de blog de l’équipe Dropbox.

L’incident a éclaté au grand jour lorsque Dropbox a annoncé avoir détecté une faille de sécurité dans son service Dropbox Sign, conçu pour faciliter l’envoi, la signature et le stockage de documents électroniques. Ce service, qui s’apparente à des plateformes telles que DocuSign, a été isolé du reste de l’infrastructure cloud de Dropbox, mais cela n’a pas suffi à empêcher l’attaque.

Le 24 avril, la direction de Dropbox a été alertée de l’incident et a immédiatement déclenché son protocole de réponse aux incidents de cybersécurité. Les enquêteurs ont découvert que des individus non autorisés avaient réussi à accéder aux données personnelles de tous les utilisateurs de Dropbox Sign, y compris les courriels, les noms d’utilisateurs, et même les numéros de téléphone et les mots de passe hachés pour certains d’entre eux.

L’ampleur de l’attaque a été stupéfiante, touchant même les personnes qui n’avaient pas de compte Dropbox mais qui avaient simplement interagi avec le service en recevant ou en signant des documents.

Action, réaction ?

« Nous travaillons actuellement à contacter tous les utilisateurs concernés par cet incident pour leur fournir des instructions sur la manière de protéger davantage leurs données. Nous menons également une enquête approfondie pour comprendre comment cela s’est produit et pour nous protéger contre de telles menaces à l’avenir. » indique l’entreprise. Malgré cette situation alarmante, Dropbox a réagi rapidement pour contenir les dégâts. La réinitialisation des mots de passe, la déconnexion des sessions utilisateurs sur tous les appareils, et la rotation complète des clés API et des jetons OAuth ont été parmi les premières mesures prises pour renforcer la sécurité du réseau. « Nous vous recommandons de réinitialiser votre mot de passe dès que possible. » indique DropBox.

Cependant, certains utilisateurs ont exprimé leur déception face à l’absence de services gratuits de protection de l’identité et contre la fraude offerts par Dropbox à la suite de l’incident. Cette lacune laisse certains utilisateurs se sentir vulnérables et peu soutenus dans un climat où la protection des données personnelles est devenue une préoccupation majeure.

La séparation des infrastructures entre Dropbox Sign et les autres services de Dropbox a probablement contribué à limiter les dommages potentiels de l’attaque.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.