Durant quatre heures ce week-end, il a été possible de se connecter au compte de n’importe quel utilisateur de Dropbox… Sans connaître son mot de passe. Ouille.
Coup dur pour l’image du service de stockage en ligne Dropbox. Durant quelques heures ce week-end, les espaces de stockage de millions d’utilisateurs se sont retrouvés en quasi libre accès.
Il suffisait, en effet, pour parvenir sur le compte Dropbox de n’importe quel utilisateur, d’entrer son e-mail, puis de renseigner n’importe quel mot de passe pour ouvrir les portes de son compte ! Cette gigantesque faille, abracadabrante, a été révélée par un utilisateur de Dropbox sur le site Pastebin. Il s’est rendu compte, après avoir voulu changer de mot de passe sur le site de stockage, qu’il était en mesure de rentrer dans le compte de plusieurs de ses amis en utilisant le mot de passe qu’il souhaitait, y compris un seul caractère, comme « q » ou « z ».
Dropbox a réagi à cette nouvelle dès le lendemain et a avoué sur son blog que ce « bug du mécanisme d’authentification » était dû à une mise à jour effectuée à 13h54 le 19 juin. « Nous l’avons découvert à 17h41 et un correctif a été apporté à 17h46. » Autrement dit, il a été possible d’accéder au compte de n’importe quel utilisateur Dropbox muni de son simple e-mail durant 3 heures et 52 minutes. Pas étonnant donc que l’entreprise ait souhaité minimiser la faille. « Une très petite partie de nos utilisateurs (bien moins de 1 %) se sont identifiés durant cette période, dont certains ont pu accéder à un compte sans avoir le bon mot de passe », précise encore Dropbox, qui s’active à chercher d’éventuels accès non autorisés dans ses logs.
C’est en tout cas un coup dur pour cette société à la réputation de sérieux, qui s’est excusée platement auprès de ses utilisateurs en expliquant que « cela n’aurait jamais dû arriver et que des protections supplémentaires seront mises en place pour empêcher que cela arrive de nouveau ». On l’espère…
• Article copier intégralement depuis : HADOPINFO
