Dropbox confirme la fuite de 68 millions d'identifiants en 2012

Dropbox confirme la fuite de 68 millions d’identifiants en 2012

Tout va bien madame la marquise

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

31/08/2016 3 minutes
20

Dropbox confirme la fuite de 68 millions d'identifiants en 2012

La semaine dernière, Dropbox annonçait la réinitialisation des mots de passe utilisateurs inchangés depuis 2012. Une action « préventive » qui a précédé la révélation que 68 millions d'identifiants de l'époque sont dans la nature, comme le confirme l'entreprise.

Dropbox semble maitriser l'art de l'euphémisme à la perfection. Il y a quelques jours, le service de stockage de fichiers a forcé la réinitialisation des mots de passe des comptes qui ne les avaient pas changés depuis la mi-2012. La société expliquait avoir « entendu parler de vieux couples d'identifiants Dropbox (adresses e-mail et mots de passe hachés et salés) » potentiellement dans la nature. Elle a donc lancé une réinitialisation « préventive » de ces données.

Des données vieilles de quatre ans et obsolètes

Hier, le site américain Motherboard a révélé que ce sont 68 millions d'identifiants qui sont disponibles en ligne. La véracité des informations leur a été confirmée par un employé de l'entreprise, puis par le spécialiste Troy Hunt.

Selon ce dernier, 32 millions de mots de passe ont été hachés avec l'algorithme bcrypt, jugé sûr aujourd'hui, quand le reste l'a été avec SHA-1, dont la sécurité est actuellement bien plus sujette à caution. Reste qu'ils ont également été salés, c'est-à-dire mélangés avec des caractères aléatoires, ce qui rend tout décryptage bien plus difficile.

À l'époque, en 2012, Dropbox indiquait que des identifiants volés sur d'autres sites avaient été utilisés pour s'identifier sur plusieurs comptes utilisateurs. L'un d'eux, celui d'un employé, contenait un document de projet avec « des adresses email d'utilisateurs ». 

Dropbox rassure sur l'exploitation de ces mots de passe

Contacté, Dropbox nous indique que « notre analyse confirme qu'il s'agit d'emails et de mots de passe hachés et salés obtenus avant la mi-2012 ». La société tient à ajouter que la réinitialisation forcée la semaine dernière a bien concerné l'ensemble des comptes affectés, à savoir ceux dont le mot de passe est le même depuis plus de quatre ans. Elle indique ne pas avoir détecté d'activité malveillante résultant de cette fuite.

L'entreprise invite tout de même ses utilisateurs à la vigilance quant au spam et aux tentatives de phishing qu'ils pourraient recevoir. Elle invite également les internautes à activer l'authentification à deux facteurs sur Dropbox et l'ensemble des services qui le proposent, et bien entendu ne pas utiliser le même mot de passe sur plusieurs sites.

20

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des données vieilles de quatre ans et obsolètes

Dropbox rassure sur l'exploitation de ces mots de passe

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (20)


sha-1 est rapide, donc, c’est “facile” de retrouver par brute force un mot de passe conçu par un humain feignant. hashcat est fait pour et teste plus 1 milliard de mot de passe par seconde.



bcrypt est fait pour être très lent, genre 10 ms sur une machine normale (soit 100/s).  Donc même pour hashcat, cela devrait être bien plus lent que pour sha1, je n’ai pas trouvé les chiffres.




Elle invite à (…) ne pas utiliser le même mot de passe deux fois.

Jamais réussi à me reconnecter avec un mot de passe différent… <img data-src=" />



Bon, suis concerné, malgré tout.


J’ai effectivement reçu un mail de chez-eux, je ne me souvenais même pas m’y être inscrit car je n’y vais jamais… <img data-src=" />


ca craint une fois de plus quoi :/


De toute façon avec une boîte qui a Condoleezza Rice sur son CA, on peut être certain que tout ce qui en sort en terme d’annonces, c’est du pipeau de 1ère classe.








Aloyse57 a écrit :



De toute façon avec une boîte qui a Condoleezza Rice sur son CA, on peut être certain que tout ce qui en sort en terme d’annonces, c’est du pipeau de 1ère classe.





Gné?



Moi tout ce que je demande à Dropbox c’est de stocker mes photos et vidéos, comme ça je les ai à la fois sur la mémoire de mon téléphone, sur iCloud, sur Flickr et sur Dropbox. Si tu avec ça je perds des photos de famille j’y comprends plus rien. Après que ça soit pas inviolable et qu’un pirate aille chercher les photos de mon chien je m’en tape. Les gens qui stockent des donnes sensibles sur Dropbox c’est ceux là qui ont un sérieux problème


M’en fiche, mon DropBox est toujours vide - je prends immédiatement ce que les copains envoient, et ils font de même.


Quarte ans après les faits, de nombreux utilisateurs ont abandonné leur compte mail. Certains services de mail recyclent les adresses non utilisées. Aussi, si la même adresse email a été créée par la suite, Dropbox vient d’inviter des utilisateurs illégitimes à définir un mot de passe d’un compte qui n’est pas le leur.&nbsp;Clairement, ce n’est pas quatre ans plus tard qu’il faut agir, mais dès que la faille est avérée.



Ceci dit, le mot de passe devra un jour disparaître au profit d’autres systèmes. De trop nombreux utilisateurs réutilisent les mêmes mots de passes sur plusieurs sites, ou qui utilisent des mots de passes courts, non aléatoires, voire susceptibles d’être aisément devinés. Quant à l’usage d’outils de trousseau de clés (LastPass, Dashlane, 1Password, KeePass…), il reste encore exceptionnel.


Comme les mails de FAI : quelqu’un chez Orange à l’époque ([email protected]), chez Free aujourd’hui ([email protected]) aura quelques soucis. <img data-src=" />

Pour le retard de 4 ans, le hic, c’est que bien souvent les services hackés ne sont pas au courant qu’il y a eu une fuite quelque part … mais ne le découvrent que quand les données sont échangées/vendues sur internet.

Dropbox a averti les utilisateurs et forcé la réinitialisation du MdP. C’est bien*. Mais des pelletées d’autres sites ne réinitialisent pas les MdP, voire n’avertissent pas les utilisateurs …



Pour le choix du MdP, si le sujet t’intéresse, voici un article qui fait un peu peur sur les habitudes des gens. <img data-src=" />





* Par contre, ils n’ont pas révoqué les tokens des applications connectées <img data-src=" />


il vraiement falloir changer ce système de mot de passe…


Qu’est-ce que c’est que cette “nouveauté” idiote <img data-src=" />





Nous vous informons que l’affichage des fichiers HTML dans un navigateur via les liens partagés ou le dossier Public ne sera plus pris en charge. Si vous utilisez des liens partagés Dropbox pour héberger des fichiers HTML, leur contenu ne s’affichera plus dans un navigateur.



Cette modification prendra effet le 3 octobre 2016. Elle ne concerne que l’affichage Web des fichiers partagés. Vos fichiers resteront en lieu sûr dans Dropbox.





<img data-src=" />



mail reçu ce matin


Moi ce qui me tue c’est qu’un employé de Dropbox ait un fichier avec les adresses mails des clients sur son dropbox…



C’est pas logique de sortir des données aussi sensible …


C’est pas faut pour le token des apps ^^



j’ai changé le mdp ce week-end, vu que j’ai eu le mail de DB en fin de semaine dernière.

j’ai “un peu” augmenté la longueur de la chaine de caractères utilisée.

Déjà que c’était pas mémorisable, la c’est encore pire.


trop de page web de phishing et de pirate, plus facile de virer l’affichage chez tout le monde, que de se battre avec les éditeurs de logiciel de sécurité et les pirates


ben oui mais perso j’y hébergais juste du html tout simple(fait à la main dans notepad, c’est pour dire <img data-src=" />) : liste de bande dessinés, comics etc et leurs contenus <img data-src=" />



vais devoir chercher un truc pour remplacer


compte supprimé avec petit message sympa pour la raison








darkbeast a écrit :



compte supprimé avec petit message sympa pour la raison





+1









Kwaïeur a écrit :



Comme les mails de FAI : quelqu’un chez Orange à l’époque ([email protected]), chez Free aujourd’hui ([email protected]) aura quelques soucis. <img data-src=" />





En fait, étonnamment, les FAI français Free et SFR ne recyclent pas les emails de leurs (anciens) clients, même des années après. J’ignore la politique d’Orange en particulier en ce sens.



La Poste ne semble pas non plus recycler les emails de ses utilisateurs, mais ses CGU peuvent changer à tout instant. Comme chez tout le monde, je présume…



&nbsp;





Kwaïeur a écrit :



[…] * Par contre, ils n’ont pas révoqué les tokens des applications connectées <img data-src=" />





Tiens, je viens de recevoir aujourd’hui même une campagne de spam sur l’ensemble de mes emails utilisés sur LinkedIn jusqu’en 2015 (j’inclus la date dans mes emails et utilise un “catch-all”). Une piste est justement que l’une des apps connectées (comme quoi, il faut limiter les inter-connections ?) s’est fait dérober sa BDD d’emails. Ou alors c’est autre chose… hum…









Sans intérêt a écrit :



En fait, étonnamment, les FAI français Free et SFR ne recyclent pas les emails de leurs (anciens) clients, même des années après. J’ignore la politique d’Orange en particulier en ce sens.



La Poste ne semble pas non plus recycler les emails de ses utilisateurs, mais ses CGU peuvent changer à tout instant. Comme chez tout le monde, je présume…







Merci pour l’info concernant Free et SFR :). Pour Orange, par défaut, l’adresse mail est supprimée, et il faut faire une demande spécifique au service client, avant résiliation, pour que l’adresse soit conservée.



(Et puis, pour le dernier, tout le monde est client chez la Poste ! <img data-src=" />)





————–

Ah, et dans le même registre, c’est au tour de Last.FM (43M de comptes). Le site s’est fait pirater en mars 2012, et la base est remontée aujourd’hui. <img data-src=" />

Mots de passe hashés en MD5 sans salage, 96% des MdP déjà crackés. La rentrée est bien fournie …