🔴 LE BLACK FRIDAY EN DIRECT ! 🔴 LE BLACK FRIDAY EN DIRECT !

Phishing chez Dropbox : vos données sont-elles encore en sécurité ?

02 novembre 2022 à 14h20
0
Dropbox alerte © Shutterstock
© Shutterstock

Dropbox a admis ce mardi avoir été la cible d'une campagne de phishing qui a abouti à la fuite de 130 de ses dépôts GitHub.

Le service de stockage en ligne Dropbox a reconnu avoir été victime d'une campagne de phishing qui allait au-delà de la simple collecte de noms d'utilisateur et de mots de passe. Elle a en effet permis aux pirates de s'emparer des codes d'authentification multifacteur. Ceux-ci ont ainsi pu dérober 130 des dépôts GitHub de Dropbox, plateforme aux 700 millions d'utilisateurs (dont 17,5 millions payants). Que s'est-il passé, et à quoi les hackers ont concrètement eu accès ?

Du phishing tout ce qu'il y a de plus classique

Le 14 octobre, Dropbox a été alertée par GitHub au sujet d'un comportement suspect identifié la veille. Après avoir mené une enquête plus approfondie, le service de stockage s'est aperçu qu'un acteur malveillant avait également accédé à l'un de ses comptes GitHub. Cet acteur avait en réalité ciblé des employés de Dropbox, en utilisant des adresses électroniques usurpant l'identité de la plateforme américaine d'intégration et de livraison de code CircleCI.

Dropbox utilise GitHub pour héberger ses référentiels publics et certains référentiels privés. Ces dépôts Git, qui servent d'entrepôt virtuel pour un projet, permettent d'enregistrer les versions du code associé et d'y accéder si besoin. Dropbox passe aussi par CircleCI pour certains déploiements internes.

Au début du mois d'octobre, plusieurs utilisateurs de Dropbox ont reçu des e-mails de phishing qui donc usurpaient l'identité de CircleCI pour cibler les comptes GitHub de Dropbox. Et si les systèmes internes de l'entreprise ont permis de mettre en quarantaine certains de ces courriers électroniques, d'autres ont malheureusement atterri dans les boîtes d'utilisateurs de la plateforme.

Un accès à des données non sensibles d'employés Dropbox, les clients épargnés

Dans ces e-mails, les pirates déguisés demandaient aux employés (on ignore combien ont été piégés exactement) de se rendre sur une fausse page de connexion CircleCI. Ils devaient y entrer leurs identifiants GitHub et utiliser leur clé d'authentification unique que le hacker récupérait. Grâce à ce petit stratagème de phishing, les pirates ont eu accès à 130 référentiels de code GitHub. Que contenaient-ils ?

Les dépôts GitHub comportaient des copies de bibliothèques tierces, des prototypes internes et divers fichiers de configuration utilisés par l'équipe de sécurité. Dropbox évoque aussi des clés API utilisées par ses développeurs, parmi les éléments auxquels les individus malveillants ont eu accès. Quelques milliers de noms et adresses électroniques rattachés à des employés, clients actuels et anciens de Dropbox sont compris dans la fuite.

Très rapidement, le service de stockage a su réagir en écartant rapidement la présence de code lié à ses applications ou à son infrastructure de base. De plus, les cybercriminels n'ont pas non plus eu accès à des éléments plus sensibles comme les comptes, les mots de passe et les données de paiement de ses clients.

« Nous sommes désolés d'avoir échoué et nous nous excusons pour tout inconvénient », a déclaré Dropbox qui explique que certains types d'authentification sont plus vulnérables que d'autres. « Avant cet incident, nous étions déjà en train d'adopter cette forme d'authentification multifacteur plus résistante au phishing. Bientôt, tout notre environnement sera sécurisé par WebAuthn avec des jetons matériels ou des facteurs biométriques », ajoute l'entreprise. WebAuthn est devenu, en mars 2019, le standard web officiel pour les connexions sans mot de passe. Il permet de créer et d'utiliser des identifiants de clé publique au niveau de l'origine pour authentifier les utilisateurs. Il reste compatible avec les authentificateurs NFC, FIDO2, U2F et ceux qui permettent de s'authentifier via empreinte ou verrouillage de l'écran.

Dropbox
  • Synchronisation remarquable
  • Ecosystème complet
  • Performances lecture/écriture

Grâce à son ultra compatibilité, son ergonomie irréprochable, sa fluidité et ses performances en lecture/écriture, ainsi que ses fonctionnalités exhaustives, Dropbox constitue un service de stockage remarquable. C’est le seul service cloud à être capable de s’intégrer aussi bien dans chaque plateforme. Même iCloud, OneDrive et Google Drive ne fonctionnent pas de manière aussi transparente sur leur propres OS respectifs iOS, Windows et Android.

Bien qu’il possède l’un des écosystèmes les plus riches du marché avec son « App Center », Dropbox reste le champion de la simplicité. Il pêche toujours en revanche sur certains points comme la confidentialité toute relative des données, des fonctions de sauvegarde bien trop limitées, et un espace de stockage gratuit minuscule de 2 Go…

Grâce à son ultra compatibilité, son ergonomie irréprochable, sa fluidité et ses performances en lecture/écriture, ainsi que ses fonctionnalités exhaustives, Dropbox constitue un service de stockage remarquable. C’est le seul service cloud à être capable de s’intégrer aussi bien dans chaque plateforme. Même iCloud, OneDrive et Google Drive ne fonctionnent pas de manière aussi transparente sur leur propres OS respectifs iOS, Windows et Android.

Bien qu’il possède l’un des écosystèmes les plus riches du marché avec son « App Center », Dropbox reste le champion de la simplicité. Il pêche toujours en revanche sur certains points comme la confidentialité toute relative des données, des fonctions de sauvegarde bien trop limitées, et un espace de stockage gratuit minuscule de 2 Go…

Source : Dropbox

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Derniers actualités

Réseaux sociaux : comment la Chine cache les protestations... avec du porno
Magnifiques photos de la capsule Orion, sur son orbite avec vue sur la Terre et la Lune !
Trottinettes en libre-service interdites aux mineurs, ça arrive à Paris
Gigabyte laisse fuiter ses GeForce RTX 4070 Ti et Radeon RX 7900 !
Black Friday : Amazon brade le prix du MacBook Air M1 (mois de 950€) !
Ce casque gaming Corsair est presque à -50% pour le Black Friday
Profitez d'une remise de prix sur le Smart Keyboard d'Apple pour le Black Friday
Cyber Monday Amazon : TOP 10 des promos high-tech jusqu'à ce soir minuit !
Après le Black Friday, le Cyber Monday s'attaque au prix des écouteurs Jabra Elite 3
Ces enceintes LG pourraient être invisibles dans nos voitures... mais y offrir un son 3D
Haut de page