Dropbox, célèbre site d'hébergement de fichiers, vient de subir une cyberattaque plutôt importante. Plus précisément, c'est Dropbox Sign, le service de signature électronique de l'entreprise, qui est concerné.
Dropbox fait partie des services de stockage cloud les plus reconnus au monde. Alors que Dropbox Inc., l'entreprise responsable, vient d'annoncer il y a deux jours un renforcement de sa sécurité, cela n'a pas empêché des hackers de s'introduire dans leur architecture. Une nouvelle attaque visant cette fois son service de signature électronique en ligne (anciennement HelloSign), qui survient un peu plus de deux ans après que la plateforme a été victime d'une campagne de phishing.
Quelles informations ont été compromises ?
Les faits se sont déroulés le 24 avril. Les équipes de DropBox Sign ont détecté un accès non autorisé à ses systèmes de production et ont immédiatement lancé une enquête. Celle-ci a révélé que les pirates ont pu exploiter un outil de configuration automatisé, leur octroyant des privilèges élevés et un accès direct à la base de données clients.
DropBox assure que les documents et accords électroniques stockés sur la plateforme sont sains et saufs. En revanche, les hackers ont pu mettre la main sur divers éléments d'identification des utilisateurs. Après enquête interne, Dropbox Sign a déclaré que les pirates ont pu avoir accès aux :
- Adresses e-mail
- Noms d'utilisateurs
- Numéros de téléphone
- Mots de passe cryptés
- Paramètres de comptes généraux
- Informations d'authentification telles que des clés API, des jetons OAuth et des clés d'authentifications multifacteurs (MFA)
Les utilisateurs occasionnels, n'ayant pas nécessairement créé de compte sur la plateforme, mais ayant recouru à ses services pour signer un document, voient également leurs adresses e-mail et leurs noms compromis. Plutôt embêtant.
Quelles mesures ont été prises par DropBox ?
Face à cette brèche de sécurité, Dropbox a réagi assez promptement en prenant plusieurs mesures correctives. Celles-ci comprennent la réinitialisation de tous les mots de passe utilisateurs, la déconnexion forcée de toutes les sessions actives sur Dropbox Sign, la restriction de l'utilisation des clés API jusqu'à ce qu'elles soient remplacées par les clients concernés. L'entreprise a évidemment communiqué par e-mail avec tous les clients affectés par cette attaque pour les mettre au courant.
Selon les recommandations officielles de Dropbox, les usagers de DropBox Sign doivent se montrer vigilants face à d'éventuelles tentatives d'hameçonnage (phishing) visant à récupérer leurs informations confidentielles. Si vous êtes concernés, méfiez-vous absolument de tout e-mail vous invitant à réinitialiser votre mot de passe, surtout s'il contient un lien. Préférez à cela une connexion directe via la plateforme pour le modifier vous-même.
Source : Bleeping Computer
- Vraie version gratuite
- Interface claire sur ordinateur
- Possibilités d'intégration
HelloSign propose une version gratuite agréable à utiliser. Le programme est aussi facile à prendre en main que sa marque mère Dropbox. Sa version gratuite est assez limitée avec peu d'envois possibles chaque mois, mais on peut apprécier l'accès gratuit à de réelles fonctionnalités. On prendra garde aux signatures qualifiées, dont l'option peut faire grimper la facture. Il vaut mieux aussi éviter de compter sur la version mobile de l'application web.
HelloSign propose une version gratuite agréable à utiliser. Le programme est aussi facile à prendre en main que sa marque mère Dropbox. Sa version gratuite est assez limitée avec peu d'envois possibles chaque mois, mais on peut apprécier l'accès gratuit à de réelles fonctionnalités. On prendra garde aux signatures qualifiées, dont l'option peut faire grimper la facture. Il vaut mieux aussi éviter de compter sur la version mobile de l'application web.
Une fois réveillé dans le bateau arrivé en Morrowind, j’avais mis le doigt dans l'engrenage. Un autre de mes doigts fut lui aussi coincé entre les pages des livres d’auteurs classiques : Charles Baudelaire, Émile Zola, Choderlos de Laclos ou Victor Hugo pour ne citer qu’eux. Vingt ans après, quelques milliers d'heures à jouer, à lire, et me voilà ! Mon coeur balance toujours entre ma passion de la tech, des jeux vidéo et mon amour incommensurable pour les Lettres. Spoiler : je n’ai pas choisi et cela ne risque pas d’arriver de sitôt.
Lire d'autres articles
