Deux spécialistes en sécurité ont présenté leurs travaux dans lesquels ils détaillent la méthode leur permettant d'intercepter les communications SSL du service. Ils précisent avoir été en mesure de procéder en décompilant et en déchiffrant le code source de Dropbox.
Dhiru Kholia et Przemyslaw Wegrzyn, deux spécialistes en sécurité dévoilent une note (.pdf) dans laquelle ils indiquent la manière selon laquelle ils ont été en mesure de passer outre les mesures de sécurité de l'outil de stockage et de partage de fichiers en cloud Dropbox. Ils expliquent ainsi avoir pu intercepter des données depuis les serveurs du service.
En étudiant l'exécutable de l'application, les hackers précisent avoir décompilé le code source de Dropbox afin d'en étudier les contours. Après cette étape, ils ont été en mesure d'intercepter les communications SSL en provenance des serveurs de Dropbox et ajoutent qu'un contournement de l'identification à deux facteurs est éventuellement possible, même s'il faut pour cela créer un nouveau client.
« Nous avons décrit une méthode permettant de passer outre les sécurités relatives à la double authentification des comptes Dopbox. Mais il s'agit en fait de techniques relativement génériques permettant d'intercepter les données via des méthodes d'injection de code », précisent Dhiru Kholia et Przemyslaw Wegrzyn.
Par leur annonce, les hackers espèrent que le service de stockage de données sera, à l'avenir, plus ouvert à certains risques en matière de sécurité ainsi qu'aux pratiques dites de rétro-ingénierie ou « reverse engineering », permettant comme dans le cas présent de littéralement démonter un système pour en analyser les systèmes qui le constitue.
Facebook qui souhaite encore plus utiliser vos données, les applications américaines qui séduisent de moins en moins, Yahoo qui change radicalement Flickr... Découvrez les dernières infos tech, venues directement des Etats-Unis.
Bitfenix attaque la rentrée avec l'annonce d'un nouveau boîtier PC, le Shadow. Un moyen tour de facture très classique, à l'exception d'une petite LED en forme de ruban située dans la partie basse de la porte.
En pleine transformation, Yahoo! teste actuellement un nouveau modèle publicitaire pour son webmail visant à placer des liens sponsorisés en tête de liste de messages.
Apple serait la firme la plus touchée par les attaques en justice des « patent trolls », ces sociétés dont l'activité est basée sur les dépôts de brevets et les attaques en justice, en dépit de toute activité commerciale.
L'équipe de Skype fête aujourd'hui les dix ans de son application de VoIP et annonce être en train de plancher sur les appels vidéo de prochaine génération en 3D.
