Dropbox ouvert aux quatre vents pendant 4 heures

Le par  |  2 commentaire(s)
Dropbox

Le célèbre service de stockage et de partage de fichiers en ligne a permis à quiconque de se connecter à un compte en saisissant n'importe quel mot de passe. Un problème qui a duré pendant 4 heures dans la nuit de dimanche à lundi.

DropboxDe quoi donner quelques sueurs froides. Le service Dropbox, qui revendique quelque 25 millions d'utilisateurs dont plus de la moitié hors des États-Unis, a reconnu un bug dans son mécanisme d'authentification.

Ce bug a été découvert dimanche vers 17h40, heure du Pacifique, soit 2h40 du matin en France ( Paris ). Il a été résolu dans les cinq minutes après sa découverte mais remontait à une mise à jour du code qui avait eu lieu aux alentours de 13h50 ( 22h50 en France ).

Ainsi, pendant près de 4 heures, le service a permis aux utilisateurs de se connecter via n'importe quel mot de passe. Autrement dit, quiconque ayant connaissance d'une adresse e-mail d'un utilisateur Dropbox était en mesure de visiter son compte, dans la mesure où tout sésame saisi était considéré comme correct.

Selon Dropbox, moins de 1 % des utilisateurs se sont connectés pendant la durée du bug, et de préciser que certains auraient pu se connecter avec un mot de passe erroné. Par mesure de précaution, Dropbox a mis fin à toutes les sessions intervenues pendant ce laps de temps.

L'heure est désormais à l'investigation afin de déterminer si des comptes ont été compromis. Le cas échéant, les utilisateurs concernés seront notifiés. Dropbox présente ses plus plates excuses et admet qu'un tel problème n'aurait jamais dû se produire.

L'affaire est d'autant plus embarrassante que Dropbox a récemment essuyé des critiques, jusqu'à une plainte déposée auprès de la FTC aux USA ( Federal Trade Commission ) par Christopher Soghoian ( voir Wired ). Chercheur en sécurité informatique, il a pointé du doigt Dropbox pour un chiffrement ( AES-256 ) et déchiffrement côté serveur. Les employés de Dropbox peuvent ainsi ouvrir des fichiers car c'est Dropbox qui détient la clé de chiffrement.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #795471
../Les employés de Dropbox peuvent ainsi ouvrir des fichiers car c'est Dropbox qui détient la clé de chiffrement./..

doivent bien s'amuser les gugus !!!

mais ou on vas ma pov suzette
suppose un employé maltraité et imagine la vengeance yeahhhh trop cool


Le #796241
C'est ça le Cloud, soit vous mettez vos fichiers chez les professionnels américains (IBM), soit chez les amateurs, eux aussi américain.

Autant monter son propre cloud chiffré correctement.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]