Cette nuit sont apparus pas moins de 6 937 081 mots de passe Dropbox. C’était du moins ainsi que les pirates présentaient ces comptes sur Reddit, où ils ont été initialement publiés. Mais alors que certains identifiants semblaient fonctionner, Dropbox a indiqué que ses serveurs n’avaient pas été piratés. Explications.
Des pirates indiquent détenir les mots de passe de sept millions de comptes
Sur Reddit, comme cela est d’ailleurs souvent le cas, des pirates sont venus publier un fragment d’une immense base de données contenant sept millions de paires d’identifiants, c’est-à-dire l’adresse de connexion et le mot de passe associé. Cette première publication contenait ce que les pirates présentaient comme des centaines de comptes Dropbox. Des utilisateurs de Reddit en ont testé une partie et plusieurs se sont révélés parfaitement fonctionnels.
Dropbox a rapidement pris en charge la situation et les comptes listés ont vu automatiquement leur mot de passe réinitialisé. Par ailleurs, il est difficile de savoir si les sept millions d’identifiants concernaient tous Dropbox car les pirates ont informé l’assistance que le reste ne serait publié que s’ils recevaient des paiements en cryptomonnaies.
Dropbox réfute tout piratage de son service
Mais alors que les premiers articles fleurissaient pour informer les utilisateurs de changer leur mot de passe par sécurité, Dropbox a rapidement communiqué sur la question : « Dropbox n’a pas été piraté. Ces noms d’utilisateurs et mots de passe ont été malencontreusement volés depuis d’autres services et utilisés dans des tentatives de connexions aux comptes Dropbox. Nous avions déjà détecté ces attaques et la grande majorité des mots de passe publiés ont maintenant expiré depuis longtemps. Les autres mots de passe restants ont expiré également. »
L’entreprise explique un cas de figure qui se reproduit malheureusement bien trop souvent. Les identifiants ont été récupérés depuis d’autres sources, sans qu’on sache lesquelles, et les pirates ont simplement tenté de les utiliser avec d’autres services. Or, comme nous l’avons souvent répété dans nos colonnes, de trop nombreux utilisateurs réutilisent le même mot de passe sur d’autres services pour se simplifier. Conséquence : les pirates n’ont qu’à tester la même combinaison ailleurs pour vérifier qu’elle fonctionne.
En dépit du nombre impressionnant de comptes contenus dans cette base de données, le danger apparaît donc comme limité. Cependant, prenez garde à vos mots de passe, particulièrement dans le cas des services cruciaux chez qui vous stockez une partie de votre vie privée : Dropbox, comptes emails, réseaux sociaux et ainsi de suite. Notez d’ailleurs, puisque l’on parle de Dropbox, que l’on peut activer l’authentification à deux facteurs pour limiter fortement la possibilité pour un pirate de s’introduire frauduleusement dans vos données.
