Par prévention, Dropbox réinitialise les mots de passe de certains comptes

Lorsque des fuites de données personnelles sont identifiées, les services qui se fendent d'un billet de blog pour en parler (tous ne le font malheureusement pas) demandent généralement à leur utilisateur de changer leur mot de passe. Dropbox annonce aujourd'hui une « réinitialisation des mots de passe pour garder vos fichiers en toute sécurité », mais en précisant qu'elle n'a « aucune indication » permettant d'affirmer que des comptes ont été piratés. Il s'agit d'une « mesure préventive » explique le service.

Les comptes concernés sont ceux créés avant mi-2012 et dont le mot de passe n'a pas été changé depuis. Cette date de mi-2012 ne doit rien au hasard. À cette époque en effet, l'éditeur avait expliqué que des pirates avaient utilisé des identifiants et mots de passe dérobés sur d'autres sites pour se connecter à « un petit nombre de comptes Dropbox », dont un qui appartenait à un de ses employés et dans lequel se trouvait un document avec des adresses e-mails d'utilisateurs.

L'éditeur confirme d'ailleurs cela dans son billet de blog. Il explique que son équipe dédiée à la sécurité a « entendu parler de vieux couples d'identifiants Dropbox (adresses e-mail et mots de passe hachés et salés) » et pense qu'ils ont été récupérés en 2012. La société ne précise par contre pas pourquoi et comment ces données sont remontées à la surface quatre ans plus tard.

Quoi qu'il en soit, ceux qui n'ont pas modifié leur mot de passe depuis mi-2012 seront invités à le faire lors de leur prochaine connexion. Si l'application ne vous le demande pas, c'est que vous n'êtes pas concernés par cette mesure. Dropbox en profite pour rappeler quelques règles de sécurité : n'utilisez pas un même mot de passe sur plusieurs services et pensez à activer l'identification en deux étapes. Pour rappel, cette fonctionnalité a été lancée en août 2012 suite à un problème de sécurité.