La semaine dernière, Dropbox annonçait la réinitialisation des mots de passe utilisateurs inchangés depuis 2012. Une action « préventive » qui a précédé la révélation que 68 millions d'identifiants de l'époque sont dans la nature, comme le confirme l'entreprise.
Dropbox semble maitriser l'art de l'euphémisme à la perfection. Il y a quelques jours, le service de stockage de fichiers a forcé la réinitialisation des mots de passe des comptes qui ne les avaient pas changés depuis la mi-2012. La société expliquait avoir « entendu parler de vieux couples d'identifiants Dropbox (adresses e-mail et mots de passe hachés et salés) » potentiellement dans la nature. Elle a donc lancé une réinitialisation « préventive » de ces données.
Des données vieilles de quatre ans et obsolètes
Hier, le site américain Motherboard a révélé que ce sont 68 millions d'identifiants qui sont disponibles en ligne. La véracité des informations leur a été confirmée par un employé de l'entreprise, puis par le spécialiste Troy Hunt.
Selon ce dernier, 32 millions de mots de passe ont été hachés avec l'algorithme bcrypt, jugé sûr aujourd'hui, quand le reste l'a été avec SHA-1, dont la sécurité est actuellement bien plus sujette à caution. Reste qu'ils ont également été salés, c'est-à-dire mélangés avec des caractères aléatoires, ce qui rend tout décryptage bien plus difficile.
À l'époque, en 2012, Dropbox indiquait que des identifiants volés sur d'autres sites avaient été utilisés pour s'identifier sur plusieurs comptes utilisateurs. L'un d'eux, celui d'un employé, contenait un document de projet avec « des adresses email d'utilisateurs ».
Dropbox rassure sur l'exploitation de ces mots de passe
Contacté, Dropbox nous indique que « notre analyse confirme qu'il s'agit d'emails et de mots de passe hachés et salés obtenus avant la mi-2012 ». La société tient à ajouter que la réinitialisation forcée la semaine dernière a bien concerné l'ensemble des comptes affectés, à savoir ceux dont le mot de passe est le même depuis plus de quatre ans. Elle indique ne pas avoir détecté d'activité malveillante résultant de cette fuite.
L'entreprise invite tout de même ses utilisateurs à la vigilance quant au spam et aux tentatives de phishing qu'ils pourraient recevoir. Elle invite également les internautes à activer l'authentification à deux facteurs sur Dropbox et l'ensemble des services qui le proposent, et bien entendu ne pas utiliser le même mot de passe sur plusieurs sites.
