Ce bug a été découvert dimanche vers 17h40, heure du Pacifique, soit 2h40 du matin en France ( Paris ). Il a été résolu dans les cinq minutes après sa découverte mais remontait à une mise à jour du code qui avait eu lieu aux alentours de 13h50 ( 22h50 en France ).
Ainsi, pendant près de 4 heures, le service a permis aux utilisateurs de se connecter via n'importe quel mot de passe. Autrement dit, quiconque ayant connaissance d'une adresse e-mail d'un utilisateur Dropbox était en mesure de visiter son compte, dans la mesure où tout sésame saisi était considéré comme correct.
Selon Dropbox, moins de 1 % des utilisateurs se sont connectés pendant la durée du bug, et de préciser que certains auraient pu se connecter avec un mot de passe erroné. Par mesure de précaution, Dropbox a mis fin à toutes les sessions intervenues pendant ce laps de temps.
L'heure est désormais à l'investigation afin de déterminer si des comptes ont été compromis. Le cas échéant, les utilisateurs concernés seront notifiés. Dropbox présente ses plus plates excuses et admet qu'un tel problème n'aurait jamais dû se produire.
L'affaire est d'autant plus embarrassante que Dropbox a récemment essuyé des critiques, jusqu'à une plainte déposée auprès de la FTC aux USA ( Federal Trade Commission ) par Christopher Soghoian ( voir Wired ). Chercheur en sécurité informatique, il a pointé du doigt Dropbox pour un chiffrement ( AES-256 ) et déchiffrement côté serveur. Les employés de Dropbox peuvent ainsi ouvrir des fichiers car c'est Dropbox qui détient la clé de chiffrement.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.