Dropbox presse ses anciens utilisateurs à changer leur mot de passe

Dropbox a alerté ses utilisateurs ayant embrassé le service en 2012, les invitant à modifier leur mot de passe, par précaution.

Dropbox a prévenu ses vieux utilisateurs qui n’avaient pas mis à jour leur mot de passe depuis la mi-2012 de le faire dès à présent, et d’activer l’authentification à deux facteurs, pendant qu’ils y sont.

« Nos équipes de sécurité sont toujours à l’écoute des nouvelles attaques qui pourraient toucher nos utilisateurs. Dans ce cadre, d’anciens logins/mots de passe (des adresses emails et des mots de passeschiffrés) créés selon nous en 2012 sont apparus. Notre analyse a montré que ces identifiants sont rattachés à un incident découvert à cette époque », écrit Patrick Heim, à la tête des activités Trust and Security de Dropbox.

« Selon notre outil de contrôle des menaces et la façon avec laquelle nous sécurisons les mots de passe, nous pensons qu’aucun compte n’ait été consulté de manière frauduleuse. Mais, par mesure de précaution, nous demandons à ceux qui n’ont pas changé leur mot de passe depuis la mi-2012 de le faire lors de leur prochaine connexion. »

Et de leur recommander, en plus, d’activer sur leur compte le service de vérification à deux étapes, la déclinaison de l’authentification à deux facteurs, de Dropbox.

Dans ce contexte, certains observateurs se sont empressés de rappeler qu’à l’époque Dropbox exploitait mal les mots de passe. Aditya Agarwal, vice-président de l’ingénierie au sein de la société, avait écrit sur son blog qu’une enquête interne avait révélé que des noms d’utilisateurs et des mots de passe récemment volés sur d’autres sites avaient été utilisés pour s’identifier sur un petit nombre de comptes Dropbox ».

Marc Rogers, chercheur en sécurité chez CloudFare a d’ailleurs rapidement tweeté :

En 2014, un pirate anonyme avait affirmé avoir obtenu les identifiants et mots de passe quelque 6,9 millions de comptes Dropbox, mais le groupe avait démenti. Ce que Anton Mityagin, ingénieur sécurité en chez Dropbox avait confirmé dans un billet de blog :  « Les identifiants et mots de passe dont font référence tous ces articles  ont été volés sur des services non liés à Dropbox. Les pirates ont ensuite utilisé ces identifiants pour tenter de s’identifier sur divers sites, dont Dropbox. Chez Dropbox, nous disposons de dispositifs capables de détecter des activités d’identification suspicieuses et nous réinitialisons les mots de passe lorsque cela se produit ». 

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)

Close