Dropbox vient de publier un message intéressant sur son forum expliquant qu’il a été victime d’une attaque menée contre certains de ses utilisateurs. Les pirates ont utilisé des mots de passe et adresses volées sur d’autres sites pour pénétrer dans les comptes de certains de ses utilisateurs. L’un des comptes piratés appartenait à un employé de Dropbox qui l’utilisait pour stocker les adresses email de quelques utilisateurs.
Une intrusion d’une faible portée
La firme explique ainsi pourquoi certains de ses utilisateurs ont reçu de nombreux spams utilisant l’adresse email liée à leur compte Dropbox. Elle affirme avoir pris des mesures pour que ce genre d’incident n’arrive plus. La première est l’authentification forte à deux facteurs, une méthode qui demande un mot de passe et un code envoyé par email ou SMS, par exemple. Elle a aussi mis en place de nouveaux mécanismes pour identifier les activités suspectes et a crée une page qui permet à l’utilisateur de voir quel navigateur s’est connecté au compte Dropbox et quand.
Un mail un peu confus, mais un effort de communication honorable
La mesure qui a néanmoins suscité la plus de controverse est l’envoi d’un mail aux personnes concerné leur invitant de changer de mot de passe. Le problème est que le courrier ressemblait beaucoup à une attaque de phishing, selon les commentaires sur le site de Dropbox.
Nous pouvons tout de même saluer l’effort de communication et de clarté de la firme dans cette affaire. La portée de l’attaque reste minime et cette histoire est un exemple de plus qui rappelle qu’il ne faut pas utiliser le même mot de passe sur plusieurs sites, surtout lorsqu’il s’agit d’un service Cloud qui stocke ses données, quelle que soit leur importance.