Cybersécurité : si vous utilisez Dropbox, voici pourquoi vos données pourraient être compromises

04/05/2024

Dropbox avait déjà été pointé du doigt par le passé pour ses failles de sécurité © Apichatn21 / Shutterstock

Dropbox, célèbre site d’hébergement de fichiers, vient de subir une cyberattaque plutôt importante. Plus précisément, c’est Dropbox Sign, le service de signature électronique de l’entreprise, qui est concerné.

Dropbox fait partie des services de stockage cloud les plus reconnus au monde. Alors que Dropbox Inc., l’entreprise responsable, vient d’annoncer il y a deux jours un renforcement de sa sécurité, cela n’a pas empêché des hackers de s’introduire dans leur architecture. Une nouvelle attaque visant cette fois son service de signature électronique en ligne (anciennement HelloSign), qui survient un peu plus de deux ans après que la plateforme a été victime d’une campagne de phishing.

Quelles informations ont été compromises ?

Les faits se sont déroulés le 24 avril. Les équipes de DropBox Sign ont détecté un accès non autorisé à ses systèmes de production et ont immédiatement lancé une enquête. Celle-ci a révélé que les pirates ont pu exploiter un outil de configuration automatisé, leur octroyant des privilèges élevés et un accès direct à la base de données clients.

DropBox assure que les documents et accords électroniques stockés sur la plateforme sont sains et saufs. En revanche, les hackers ont pu mettre la main sur divers éléments d’identification des utilisateurs. Après enquête interne, Dropbox Sign a déclaré que les pirates ont pu avoir accès aux :

Adresses e-mail
Noms d’utilisateurs
Numéros de téléphone
Mots de passe cryptés
Paramètres de comptes généraux
Informations d’authentification telles que des clés API, des jetons OAuth et des clés d’authentifications multifacteurs (MFA)

Les utilisateurs occasionnels, n’ayant pas nécessairement créé de compte sur la plateforme, mais ayant recouru à ses services pour signer un document, voient également leurs adresses e-mail et leurs noms compromis. Plutôt embêtant.

Dropbox compte plusieurs centaines de millions d’utilisateurs © Alexandre Boero / Clubic

Quelles mesures ont été prises par DropBox ?

Face à cette brèche de sécurité, Dropbox a réagi assez promptement en prenant plusieurs mesures correctives. Celles-ci comprennent la réinitialisation de tous les mots de passe utilisateurs, la déconnexion forcée de toutes les sessions actives sur Dropbox Sign, la restriction de l’utilisation des clés API jusqu’à ce qu’elles soient remplacées par les clients concernés. L’entreprise a évidemment communiqué par e-mail avec tous les clients affectés par cette attaque pour les mettre au courant.

Les meilleurs logiciels et apps de signature électronique en 2024

A découvrir

Les meilleurs logiciels et apps de signature électronique en 2024

26 mars 2024 à 16:52

Comparatifs services

Selon les recommandations officielles de Dropbox, les usagers de DropBox Sign doivent se montrer vigilants face à d’éventuelles tentatives d’hameçonnage (phishing) visant à récupérer leurs informations confidentielles. Si vous êtes concernés, méfiez-vous absolument de tout e-mail vous invitant à réinitialiser votre mot de passe, surtout s’il contient un lien. Préférez à cela une connexion directe via la plateforme pour le modifier vous-même.

Source : Bleeping Computer

Dropbox Sign (ex HelloSign)

Voir l’offre

Lire l’avis 7

Dropbox Sign (ex HelloSign)

Vraie version gratuite
Interface claire sur ordinateur
Possibilités d’intégration

HelloSign propose une version gratuite agréable à utiliser. Le programme est aussi facile à prendre en main que sa marque mère Dropbox. Sa version gratuite est assez limitée avec peu d’envois possibles chaque mois, mais on peut apprécier l’accès gratuit à de réelles fonctionnalités. On prendra garde aux signatures qualifiées, dont l’option peut faire grimper la facture. Il vaut mieux aussi éviter de compter sur la version mobile de l’application web.

Quelles informations ont été compromises ?

Quelles mesures ont été prises par DropBox ?

OTHER NEWS