Passer au contenu

Dropbox victime d’une faille de sécurité béante

Durant quatre heures ce week-end, il a été possible de se connecter au compte de n’importe quel utilisateur de Dropbox? sans connaître son mot de passe.

Coup dur pour l’image du service de stockage en ligne Dropbox : durant quelques heures ce week-end, les comptes de millions de personnes se sont retrouvés en libre accès ou presque.

Il suffisait en effet, pour ouvrir n’importe quel espace Dropbox, d’entrer l’adresse électronique du membre puis de saisir une suite quelconque de caractères dans le champ mot de passe ! Cette gigantesque faille, abracadabrante, a été révélée par un utilisateur de Dropbox sur le site Pastebin. Il a découvert, en voulant changer son mot de passe, qu’il était en mesure de pénétrer dans le compte de plusieurs de ses amis en utilisant le sésame qu’il souhaitait, y compris un seul caractère.

Le site recherche d’éventuels accès non autorisés

Dropbox a réagi à la nouvelle dès le lendemain, et a avoué sur son blog que ce « bug du mécanisme d’authentification » était dû à une mise à jour effectuée à 13h54, le 19 juin. « Nous l’avons découvert à 17h41, et un correctif a été apporté à 17h46. » Autrement dit, les comptes sont restés sans autre protection que le login (adresse e-mail) durant trois heures et cinquante-deux minutes. Pas étonnant donc que l’entreprise ait souhaité minimiser la faille. « Une très petite partie de nos utilisateurs (bien moins de 1 %) se sont identifiés durant cette période, dont certains ont pu accéder à un compte sans avoir le bon mot de passe », précise la site, qui s’active à chercher d’éventuels accès non autorisés dans ses logs.

C’est en tout cas un coup dur pour cette société à la réputation de sérieux, qui s’est excusée platement auprès de ses utilisateurs en expliquant que « cela n’aurait jamais dû arriver et que des protections supplémentaires seront mises en place pour empêcher que cela arrive de nouveau ». On l’espère…


🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Eric Le Bourlout