Piratage Dropbox : qui est concerné par le vol de données ?

Dropbox a été victime d'une cyberattaque, qui a notamment abouti au vol de milliers de noms et d'adresses mail sur GitHub. Une très mauvaise nouvelle pour les millions d'utilisateurs de ce service populaire de stockage en ligne…

Les grandes entreprises sont des cibles de choix pour les pirates, car les données personnelles de leurs utilisateurs constituent une véritable mine d'or. C'est le cas pour le service de stockage en ligne Dropbox, qui compte plus de 700 millions d'utilisateurs dans le monde – dont 17,5 millions ont souscrit à la version payante. La plateforme a admis dans un communiqué avoir été victime d'une campagne de phishing – une technique qui consiste à envoyer des messages truqués pour récupérer des données de connexion, bancaires ou personnelles – qui a permis aux pirates de dérober 130 de ses dépôts GitHub – la plateforme qui permet aux développeurs de stocker et de gérer du code – et donc d'accéder à quelques milliers de noms et d'adresses mails appartenant aux employés, aux clients actuels et passés, aux prospects et aux fournisseurs qui y étaient stockés.

Piratage Dropbox : une campagne de phishing simple mais efficace

Le pot aux roses a été découvert le 14 octobre par GitHub, qui signale à Dropbox un comportement suspect sur son compte identifié la veille. Le service de stockage en ligne a donc mené sa petite enquête et s'est rendu compte qu'un pirate avait réussi à accéder à l'un de ses comptes GitHub. Pour y parvenir, les pirates ont eu recours à la bonne vieille technique du phishing. Il faut savoir que Dropbox utilise des comptes GitHub pour accéder à CircleCI, une plateforme d'intégration et de diffusion de code qui lui permet de déployer certains codes privés en interne – qui sont donc stockés sur les dépôts GitHub. Les hackers ont envoyé des e-mails aux employés de Dropbox en se faisant passer pour CircleCI et les ont redirigés vers un faux site leur demandant de rentrer leur nom d'utilisateur et leur mot de passe GitHub, ainsi que leur clé d'authentification matérielle pour transmettre un mot de passe à usage unique (OTP) – tout a été bien entendu récupéré par les pirates. Ensuite, il leur a suffi de se connecter au compte GitHub de la victime et d'accéder aux dépôts de travail. Pourtant, trois semaines avant l'attaque, GitHub avait mis en garde ses utilisateurs contre des campagnes de phishing qui usurpaient l'identité de CircleCI, mais plusieurs employés de Dropbox sont tombés dans le panneau.

Le mail de phishing en question © Bleeping Computer

Le service de stockage en ligne a indiqué que les dépôts piratés contenaient "nos propres copies de bibliothèques tierces légèrement modifiées pour être utilisées par Dropbox, des prototypes internes et certains outils et fichiers de configuration utilisés par l'équipe de sécurité", ainsi que des clés API (Interface de programmation d'application) utilisées par ses développeurs, des milliers de noms et d'adresses électroniques. Dropbox se veut rassurant et indique que le risque est minime puisque aucun code pour les applications de base ou l'infrastructure n'a été consulté, leur accès étant "encore plus limité et strictement contrôlé", et que les pirates n'ont jamais eu accès aux comptes, mots de passe ou informations de paiement des clients. Notons toutefois que les adresses mails peuvent servir pour de futures campagnes de phishing...

Depuis cet incident, Dropbox a changé tous les identifiants API des développeurs auxquels l'intrus avait accès et a engagé des enquêteurs externes pour examiner ses résultats. "Avant cet incident, nous étions déjà en train d'adopter cette forme d'authentification multifacteurs plus résistante au phishing. Bientôt, tout notre environnement sera sécurisé par WebAuthn avec des jetons matériels ou des facteurs biométriques", explique l'entreprise. Nul doute que l'attaque va accélérer ses efforts.