Hacker vaillant, rien d’impossible … Même pas Dropbox
Le stockage en Cloud a pris du plomb dans l'aile.
La semaine dernière, la société Dropbox a confirmé les rumeurs qui planaient, en affirmant avoir été victime d’un piratage. J’ai dit un piratage ? Non, en fait, ce sont deux piratages distincts qui sont décrit par la société. Deux ? Non, en fait, ce serait un piratage qui a tourné à l’avantage des pirates, dévoilant à l’insu de la société, et des pirates eux-mêmes, des données inattendues. Un ? Non en fait, ce sont bien deux piratages différents, mais par une même équipe, ou peut être deux équipes de pirates différentes… On tourne un peu en rond, non ? Ce n’est pas de ma faute, c’est la société Dropbox qui reste floue sur le problème. A se demander même si elle-même sait réellement ce qu’il s’est passé.
Une version possible des faits
Tout a commencé, lorsque quelques utilisateurs se sont plaints de recevoir, sur l’adresse mail qu’ils utilisaient exclusivement pour leur Dropbox, une quantité impressionnante de spams en tout genre. Alerté, la société en charge du logiciel a tout d’abord ignoré les faits, pensant avoir à faire à un problème extérieur. Cependant, les plaintes se répétant et se multipliant de jour en jour, Dropbox a alors pris le devant. Il s’est avéré, après une semaine de recherche, que le système a bien fait l’objet d’un piratage de grande envergure. Des comptes d’utilisateurs ont été ouvert, des données personnelles récupérées, des spams envoyés et des fichiers ont été volés (peut-on parler d’un vol si l’utilisateur possède toujours l’original ? Vous avez quatre heures, calculatrice autorisée mais je veux voir les brouillons – Non en fait, ce n’est pas la question, désolé, il est tard … Vous pouvez poser les stylos).
On reprend. Dans les comptes qui ont été certifiés piratés par Dropbox, celui d’un utilisateur un peu particulier. Ce dernier travaillant chez Dropbox, possédait dans ses fichiers, des listes entières d’utilisateurs du service. De là, il était bien plus facile pour les pirates de lancer des campagnes de spam sur des comptes mails certifiés.
La version officielle de Dropbox
Selon la société Dropbox, les deux faits sont totalement isolés. D’un côté, nous aurions, le piratage et le vol d’informations personnelles, et de l’autre, les campagnes de spam. Je ne suis pas certain que cela suffise à rassurer les utilisateurs puisque cela impliquerai qu’il y a au moins deux failles à combler dans le système et que les données des usagers soient dispersées auprès de deux groupes de hackers.
Dans son communiqué, Dropbox rappelle qu’il est important d’utiliser des mots de passe complexes (ensemble de lettres, chiffres, majuscules, minuscules, caractères spéciaux) et qu’il est déconseillé d’utiliser deux fois un même mot de passe (je pourrais vous faire un mini-cours sur la sécurité informatique, mais là c’est surtout une histoire de logique). De plus, la société assure faire tout son possible pour régler le problème d’insécurité, en mettant en place un système de double vérification d’identité (mot de passe + validation SMS – Personnellement, j’ai testé ce système sur Gmail, qui le propose depuis quelques temps, et je n’accroche pas. Trop complexe et trop long à mon goût. Mais ce n’est qu’une opinion personnelle).
Au final, ça revient au même
En définitif, entre Google Drive, qui précise dans ses conditions générales d’utilisation, s’octroyer un droit de regard et d’utilisation des données stockés par les utilisateurs et DropBox qui se fait piraté, le cloud a encore du soucis à se faire …