Dropbox a admis ce mardi avoir été la cible d'une campagne de phishing qui a abouti à la fuite de 130 de ses dépôts GitHub.
Le service de stockage en ligne Dropbox a reconnu avoir été victime d'une campagne de phishing qui allait au-delà de la simple collecte de noms d'utilisateur et de mots de passe. Elle a en effet permis aux pirates de s'emparer des codes d'authentification multifacteur. Ceux-ci ont ainsi pu dérober 130 des dépôts GitHub de Dropbox, plateforme aux 700 millions d'utilisateurs (dont 17,5 millions payants). Que s'est-il passé, et à quoi les hackers ont concrètement eu accès ?
Du phishing tout ce qu'il y a de plus classique
Le 14 octobre, Dropbox a été alertée par GitHub au sujet d'un comportement suspect identifié la veille. Après avoir mené une enquête plus approfondie, le service de stockage s'est aperçu qu'un acteur malveillant avait également accédé à l'un de ses comptes GitHub. Cet acteur avait en réalité ciblé des employés de Dropbox, en utilisant des adresses électroniques usurpant l'identité de la plateforme américaine d'intégration et de livraison de code CircleCI.
Dropbox utilise GitHub pour héberger ses référentiels publics et certains référentiels privés. Ces dépôts Git, qui servent d'entrepôt virtuel pour un projet, permettent d'enregistrer les versions du code associé et d'y accéder si besoin. Dropbox passe aussi par CircleCI pour certains déploiements internes.
Au début du mois d'octobre, plusieurs utilisateurs de Dropbox ont reçu des e-mails de phishing qui donc usurpaient l'identité de CircleCI pour cibler les comptes GitHub de Dropbox. Et si les systèmes internes de l'entreprise ont permis de mettre en quarantaine certains de ces courriers électroniques, d'autres ont malheureusement atterri dans les boîtes d'utilisateurs de la plateforme.
Un accès à des données non sensibles d'employés Dropbox, les clients épargnés
Dans ces e-mails, les pirates déguisés demandaient aux employés (on ignore combien ont été piégés exactement) de se rendre sur une fausse page de connexion CircleCI. Ils devaient y entrer leurs identifiants GitHub et utiliser leur clé d'authentification unique que le hacker récupérait. Grâce à ce petit stratagème de phishing, les pirates ont eu accès à 130 référentiels de code GitHub. Que contenaient-ils ?
Les dépôts GitHub comportaient des copies de bibliothèques tierces, des prototypes internes et divers fichiers de configuration utilisés par l'équipe de sécurité. Dropbox évoque aussi des clés API utilisées par ses développeurs, parmi les éléments auxquels les individus malveillants ont eu accès. Quelques milliers de noms et adresses électroniques rattachés à des employés, clients actuels et anciens de Dropbox sont compris dans la fuite.
Très rapidement, le service de stockage a su réagir en écartant rapidement la présence de code lié à ses applications ou à son infrastructure de base. De plus, les cybercriminels n'ont pas non plus eu accès à des éléments plus sensibles comme les comptes, les mots de passe et les données de paiement de ses clients.
« Nous sommes désolés d'avoir échoué et nous nous excusons pour tout inconvénient », a déclaré Dropbox qui explique que certains types d'authentification sont plus vulnérables que d'autres. « Avant cet incident, nous étions déjà en train d'adopter cette forme d'authentification multifacteur plus résistante au phishing. Bientôt, tout notre environnement sera sécurisé par WebAuthn avec des jetons matériels ou des facteurs biométriques », ajoute l'entreprise. WebAuthn est devenu, en mars 2019, le standard web officiel pour les connexions sans mot de passe. Il permet de créer et d'utiliser des identifiants de clé publique au niveau de l'origine pour authentifier les utilisateurs. Il reste compatible avec les authentificateurs NFC, FIDO2, U2F et ceux qui permettent de s'authentifier via empreinte ou verrouillage de l'écran.
- Synchronisation remarquable
- Écosystème complet
- Performances lecture/écriture
Grâce à son ultracompatibilité, son ergonomie irréprochable, sa fluidité, ses performances en lecture/écriture et ses fonctionnalités exhaustives, Dropbox constitue un service de stockage remarquable. C’est le seul service cloud à être capable de s’intégrer aussi bien dans chaque plateforme. Même iCloud, OneDrive et Google Drive ne fonctionnent pas de manière aussi transparente sur leur propres OS respectifs iOS, Windows et Android.
Bien qu’il possède l’un des écosystèmes les plus riches du marché avec son « App Center », Dropbox reste le champion de la simplicité. Il pêche toujours en revanche sur certains points comme la confidentialité toute relative des données, des fonctions de sauvegarde bien trop limitées et un espace de stockage gratuit minuscule de 2 Go…
Grâce à son ultracompatibilité, son ergonomie irréprochable, sa fluidité, ses performances en lecture/écriture et ses fonctionnalités exhaustives, Dropbox constitue un service de stockage remarquable. C’est le seul service cloud à être capable de s’intégrer aussi bien dans chaque plateforme. Même iCloud, OneDrive et Google Drive ne fonctionnent pas de manière aussi transparente sur leur propres OS respectifs iOS, Windows et Android.
Bien qu’il possède l’un des écosystèmes les plus riches du marché avec son « App Center », Dropbox reste le champion de la simplicité. Il pêche toujours en revanche sur certains points comme la confidentialité toute relative des données, des fonctions de sauvegarde bien trop limitées et un espace de stockage gratuit minuscule de 2 Go…
Source : Dropbox
Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)
Lire d'autres articles
