Piratage Dropbox : qui est concerné par ce vol de données sensibles ?

Piratage Dropbox : qui est concerné par ce vol de données sensibles ?

Dropbox a été victime d'une cyberattaque qui a abouti au vol d'informations sensibles, dont des mots de passe. Une mauvaise nouvelle pour les utilisateurs du service Dropbox Sign, qui s'exposent à des tentatives de phishing sophistiquées.

Les grandes entreprises sont des cibles de choix pour les pirates, car les données personnelles de leurs utilisateurs constituent une véritable mine d'or. Autant dire que le service de stockage en ligne Dropbox, qui compte plus de 700 millions d'utilisateurs dans le monde – dont 17,5 millions ont souscrit à la version payante –, est particulièrement convoité ! Malheureusement, la plateforme a annoncé dans un communiqué avoir été victime d'une cyberattaque. Elle a en effet découvert, le 24 avril dernier, qu'un hacker était parvenu à pénétrer dans le système de Dropbox Sign – une société anciennement connue sous le nom de HelloSign qui a été acquise en 2019 et qui permet de signer électroniquement des documents de manière sécurisée en ligne – et à y voler des informations sensibles concernant les utilisateurs, dont des mots de passe.

Piratage Dropbox : quelles sont les données dérobées ?

Pour pénétrer dans le système, le pirate s'est servi d'un compte compromis "utilisé pour exécuter des applications et exécuter des services automatisés", ce qui lui a permis d'accéder à la "base de données clients". Il a ainsi pu dérober les informations relatives à tous les utilisateurs de Dropbox Sign, comme les paramètres de compte, les noms d'utilisateurs et les adresses mails. Il s'est également emparé des numéros de téléphone et des mots de passe de certains clients. Dropbox tient toutefois à préciser que les mots de passe étaient hachés, c'est-à-dire qu'ils ont été transformés en une chaîne de caractères compliquée à l'aide d'algorithmes de hachage, afin de les rendre illisibles. Attention, les internautes ayant utilisé l'eSignature de Dropbox Sign, pour signer un document reçu par exemple, sans créer de compte peuvent également être affectés par cette fuite de données.

© Dropbox Sign

Après avoir découvert la cyberattaque, Dropbox a immédiatement réinitialisé les mots de passe des utilisateurs et a déconnecté ces derniers de tous les appareils liés à Dropbox Sign. Aussi, la prochaine fois qu'ils se connecteront à leur compte Sign, ils recevront un e-mail leur demandant de réinitialiser leur mot de passe. L'entreprise a également mis à jour toutes les clés API et tous les jetons OAuth, afin d'empêcher le pirate d'exploiter les informations en sa possession, et va limiter certaines fonctions des clés API en attendant que les usagers les réinitialisent. Elle recommande toutefois aux utilisateurs n'utilisant pas de mot de passe unique de le modifier sur leurs autres comptes. Quant à ceux qui utilisent des applications d'authentification comme Google Authenticator pour se connecter à la plateforme, il leur est conseillé de les réinitialiser.

Piratage Dropbox : quelle est la marche à suivre ?

Dropbox se veut rassurante. Selon elle, rien ne prouve à l'heure actuelle que l'auteur de l'intrusion a pu accéder au contenu des comptes des utilisateurs, à leurs informations de paiement ou à d'autres pans de l'infrastructure informatique. L'enquête est toujours en cours et les forces de l'ordre et les différents organismes de réglementation ont été prévenus. Dropbox a commencé à contacter les clients touchés par l'incident pour leur indiquer la marche à suivre.

Ce n'est pas la première fois que le service d'hébergement de fichiers est victime d'un piratage. En 2022 déjà, l'entreprise avait été confrontée à un autre problème de sécurité : une campagne de phishing avait ciblé ses développeurs, permettant à des pirates d'accéder à des milliers de noms et d'adresses mail sur GitHub (voir notre article). La prudence est donc une nouvelle fois de mise, car les informations subtilisées, même si elles ne permettent pas à elles seules de compromettre les comptes Dropbox, peuvent être utilisées pour mener des campagnes de phishing bien plus sophistiquées et ainsi obtenir des données encore plus sensibles, comme des identifiants ou des coordonnées bancaires.