Dropbox : une brèche qui ouvre la voie à de multiples menaces

La brèche qui a affecté Dropbox en 2012 n’est pas exempte de conséquences. Certes, les données des plus de 68 millions de comptes utilisateurs concernés ne semblent pas menacées – le chiffrement devrait les protéger. D’ailleurs, Patrick Heim, responsable de la confiance et de la sécurité chez Dropbox, assure n’avoir « aucune indication » d’accès illégitimes à des comptes d’utilisateurs. Ce qui n’empêche pas le service de jouer la prudence en forçant la réinitialisation des mots de passe pour les utilisateurs concernés, et en encourageant l’activation de l’authentification à double facteur.

Mais d’autres menaces apparaissent également, résultant de manière indirecte de cette brèche. Conscient de celles-ci, Patric Heim a prévenu : « restez à l’affut de pourriels ou de hameçonnage, par des adresses e-mail sont présentes dans la liste » dérobée. Celles-ci seraient d’ailleurs en vente sur Internet.

Pour Dotan Bar Noy, Pdg de ReSec Technologies, c’est bien simple, « quelqu’un vient tout juste d’ouvrir une boîte de Pandore d’e-mails, et il va provoquer une tempête de spam […] fraudeurs, cybercriminels et pirates d’Etat ont accès à des millions de victimes potentielles auxquelles envoyer phishing, ransomware et e-mails de hameçonnage ciblé ». Et d’encourager les entreprises à sensibiliser plus que rapidement leurs employés aux techniques qui risquent d’être employées pour les piéger.

Et justement, AppRiver indique observer une campagne de phishing s’appuyant sur des courriels reprenant l’identité visuelle de Dropbox : « l’e-mail alerte son destinataire de la réception d’une facture à télécharger par le lien fourni. Le message affirme qua la facture est liée à un travail de traduction finalisé. Lorsque l’utilisateur clique sur le lien, une archive ZIP est téléchargée sur son ordinateur ».

Le risque apparaît d’autant plus grand que, selon TeleSign, 73 % des comptes en ligne sont protégés par des mots de passe utilisés plus d’une fois. Et plus de la moitié des consommateurs utilise 5 mots de passe au plus pour verrouiller leurs comptes en ligne. En somme, si des criminels parviennent à tromper l’attention un utilisateur pour le pousser à donner son mot de passe, c’est bien plus qu’un seul service en ligne qui risque d’être affecté.

Et pour Roman Foeckl, Pdg de CoSoSys, l’une des principales leçons de la brèche ayant affecté Dropbox, est qu’il est grand temps pour chacun de reprendre le contrôle de la sécurité de ses services en ligne : « il est important de ne pas seulement se reposer sur les mesures de sécurité mises en place par des tiers, en particulier lorsque l’on parle de données d’entreprise confidentielles ».