La large campagne de réinitialisation de mots de passe utilisateurs de Dropbox ayant eu lieu la semaine dernière cachait bien un soucis… et pas des moindres en l’occurrence puisqu’il s’agit de la confirmation du vol de 68 millions d’identifiants et mots de passe au cours du piratage de 2012.
Une action « préventive » donc, qui a précédé la révélation que 68 millions d’identifiants de l’époque sont dans la nature (très exactement 68 648 009), fait dûment confirmé par l’entreprise américaine sur son blog. Pour ceux qui rencontreraient des difficultés de réinitialisation, une FAQ est disponible ici.
C’est le site américain Motherboard qui a mis l’information en avant ces derniers jours, ajoutant le fait que les 68 millions de couples identifiants / mots de passe dérobés ont été diffusé en ligne lors d’un énorme leak. Le fait a été confirmé par le spécialiste en sécurité informatique Troy Hunt qui a pu étudier en détails les données (provenant du site Leakbase). Ce dernier a par ailleurs fourni des indications précises sur ces données volées : 32 millions de mots de passe sont hachés avec l’algorithme bcrypt (jugé fiable) et le reste est haché en SHA-1 avec ajout d’un grain de sel (salt).
Conclusion, soit évitez d’utiliser ce genre de service cloud non sécurisé (sans compter le fait que toutes les données se retrouvent au USA), soit optez pour l’authentification forte à deux facteurs. Vous pouvez aussi vérifier que votre adresse mail n’ai pas déjà été compromise via le service Have I been pwned? qui vous éclairera en détail sur les faits. N’oubliez surtout pas que si le test s’avère positif, votre mot de passe a potentiellement été cracké et exploité pour se connecter illégalement à d’autres services en ligne sensibles sur lesquels vous auriez commis l’erreur d’utiliser le même mot de passe !
Les commentaires sont fermés.