Et un piratage de grande ampleur de plus en ce premier semestre 2024, un !
Si, de nos jours, la plupart des géants du web ont développé leur propre service de stockage dans le cloud (Google Drive, OneDrive de Microsoft, ou même Proton Drive), Dropbox fait toujours figure de référence dans le secteur. Un pionnier, qui est fatalement la cible régulière de pirates, comme ce mercredi 1er mai 2024.
L’option Dropbox Sign a servi de porte d’entrée
C’est officiel : Dropbox a bien été piraté il y a quelques jours, et la déclaration qui en a été faite aux autorités américaines stipule clairement que des mots de passe d’utilisateurs et d’utilisatrices ont été dérobés. Des mots de passe hachés (comprendre : indéchiffrables sans beaucoup d’efforts), mais aussi des noms, adresses e-mail et d’autres paramètres liés au compte de celles et ceux qui utilisent une fonction payante de Dropbox, Sign (auparavant HelloSign).
Mais cela concerne aussi bien les personnes qui ont déjà signé un document avec Sign sans pour autant avoir souscrit à ce service. Le simple fait d’avoir un jour utilisé cette option de Dropbox expose à des risques d’avoir été piraté.
D’après le communiqué officiel de Dropbox, l’attaque aurait eu lieu le 24 avril. L’entreprise va prendre contact avec ses utilisateurs et utilisatrices afin de les avertir et de les inviter à changer leur mot de passe.
Quels sont les risques ?
Comme souvent avec les piratages, les risques à court terme sont pour le moins limités. En l’état, les pirates ne peuvent pas faire grand-chose de leur larcin. Ce n’est qu’en croisant les données obtenues à d’autres qui circulent sur le dark web qu’ils peuvent établir des profils et tenter d’usurper l’identité de leurs victimes. En clair, cela pourra leur permettre de mettre en place des arnaques ou des campagnes de phishing.
Notre conseil reste le même que d’habitude : changez immédiatement votre mot de passe Dropbox afin d’anticiper les demandes de l’entreprise, et installez un gestionnaire de mots de passe. Ces logiciels, dont certains sont gratuits sans lésiner sur la sécurité, permettent de générer des mots de passe complexes et de les retenir pour vous sur tous vos appareils.
Bien sûr, un gestionnaire de mots de passe n’empêche pas les cyberattaques, mais certains services permettent d’être tenu au courant en cas de brèche de sécurité sur un site enregistré.
