Vidéo: Pencilmate Needs A Bathroom! - Pencilmation Cartoons (Novembre 2024)
Si vous utilisez Dropbox pour stocker vos fichiers, considérez cette publication comme un rappel que vous devez utiliser une authentification à deux facteurs pour le service cloud.
Une personne inconnue a posté lundi des centaines de noms d'utilisateur et de mots de passe qui appartiendraient à des comptes Dropbox sur le site de partage de texte Pastebin. L'utilisateur de Pastebin a déclaré que l'échantillon représentait une fraction infime d'une liste comprenant jusqu'à 7 millions de comptes Dropbox compromis.
"Nous continuerons à diffuser plus d'informations au public à mesure que les dons arriveront et montrerons votre soutien", a annoncé l'annonce de Pastebin accompagnant le vidage du mot de passe.
Dropbox non piraté
Au cas où vous craignez que vos fichiers et vos images aient été volés, Dropbox a déclaré qu'il n'y avait rien à craindre.
"Vos documents sont en sécurité", a déclaré Anton Mityagin, membre de l'équipe de sécurité de Dropbox, dans un article de blog affirmant que Dropbox n'avait pas été piraté. "Les noms d'utilisateur et mots de passe référencés dans ces articles ont été volés à des services indépendants, pas à Dropbox."
Le service cloud prétend que les assaillants ont sélectionné des combinaisons de noms d'utilisateur et de mots de passe auprès d'autres services violés, puis ont essayé de se connecter à divers sites sur Internet, y compris Dropbox. Étant donné que la réutilisation des mots de passe est généralisée malgré les avertissements répétés, les attaquants ont été en mesure de compiler une liste des informations d'identification du compte.
Même si Dropbox n’a pas été violé, mes fichiers ne sont-ils pas menacés, car les informations d’identité de mon compte ont été exposées? Dropbox a affirmé que ce n'était pas le cas, car il surveille régulièrement tous les comptes pour suivre ce type d'activité de connexion suspecte. Dropbox a également affirmé avoir vérifié les listes postées sur Pastebin et avoir confirmé qu'elles n'étaient pas associées à des comptes d'utilisateurs.
"Nous avons mis en place des mesures pour détecter les activités de connexion suspectes et nous réinitialisons automatiquement les mots de passe lorsque cela se produit", a écrit Mityagin.
La réutilisation du mot de passe est incorrecte
Si votre compte fait partie des sites identifiés par les attaquants, Dropbox a probablement modifié vos mots de passe. Alors, tout d’abord, arrêtez de réutiliser vos mots de passe pour tous les services. N'utilisez pas le même mot de passe, même si vous pensez que les comptes ne contiennent pas d'informations sensibles et ne sont pas importants.
Malheureusement, malgré les violations récentes exposant les mots de passe des utilisateurs, les personnes ne semblent pas être prises au piège. Troy Hunt, le chercheur en sécurité derrière HaveIBeenPwned.com, a déclaré à SecurityWatch le mois dernier qu'il s'attendait à des chevauchements entre les listes de mots de passe provenant de différentes violations de données. La base de données de HaveIBeenPwned contient des listes de mots de passe de plus de 30 sites et permet aux utilisateurs de vérifier si leurs comptes font partie de ceux qui ont été exposés.
"Nous n'avons simplement pas suffisamment modifié les habitudes en matière de mot de passe" pour éviter les chevauchements de violations de données, a déclaré Hunt.
Deux facteurs maintenant
Même si vous n'avez pas réutilisé les mots de passe, votre compte est toujours vulnérable aux attaques par force brute, notamment si le mot de passe est faible. Il convient également de noter que même les mots de passe forts et complexes peuvent être forcés, en particulier si l'attaquant dispose de ressources informatiques, de temps et de motivation suffisants. C'est pourquoi vous devez activer la vérification en deux étapes sur tout service qui le propose. Heureusement pour nous, Dropbox est l’un de ces services et il est assez facile de le configurer.
"De telles attaques sont l'une des raisons pour lesquelles nous encourageons vivement les utilisateurs à ne pas réutiliser les mots de passe d'un service à l'autre. Pour renforcer la sécurité, nous recommandons toujours d'activer la vérification en deux étapes sur votre compte", a écrit Mityagin.
La vérification en deux étapes associe des mots de passe, ou "quelque chose que vous connaissez", à un appareil mobile, ou "quelque chose que vous possédez", pour empêcher les tentatives de connexion frauduleuses. Si vous avez activé deux facteurs sur votre compte Dropbox, vous recevrez un code de sécurité à six chiffres sur votre téléphone mobile ou un code généré à partir de l'application Google Authenticator. "Avoir deux étapes plutôt qu'une seule crée une barrière plus forte contre les attaquants", a déclaré Dropbox.
Nous vous recommandons d'utiliser un gestionnaire de mots de passe tel que LastPass afin de faciliter la création de mots de passe uniques, également complexes. Mais bien qu'ils puissent ralentir les attaquants, ils ne sont pas infaillibles. L'authentification à deux facteurs peut être moins pratique et lente, mais l'effort supplémentaire en vaut la peine si elle empêche les intrus de pénétrer facilement dans votre compte.
