Plus tôt dans la semaine, mon collègue Chris de Threatpost écrivait un article sur comment Dropbox avait contraint ses utilisateurs à réinitialiser leurs mots de passe pour ceux qui ne les avaient pas changés depuis 2012. Lors de la parution de son article, Dropbox avait alors qualifié cette mesure de « purement préventive ».
Retour en 2012 où Dropbox s’était retrouvé victime d’une faille de sécurité qui avait causé des problèmes et spammé les utilisateurs du service. Quatre ans plus tard, l’ampleur de la faille refait désormais surface après qu’un cache des données des utilisateurs de Dropbox fut découvert en ligne. La nuit dernière, le site Motherboard a indiqué que ces bases de données étaient bel et bien réelles et contenaient plus de 68 millions de comptes Dropbox.
Dans son article, Motherboard a souligné que Dropbox n’avait pas détecté de signes d’accès à des comptes malveillants. Sur les 68 millions de comptes, environ 32 millions sont sécurisés avec bcrypt, les autres étant hachés avec SHA-1.
Qu’est-ce que ça signifie ?
Selon le rapport de Motherboard, les données en fuite ne sont actuellement pas sur la liste des marchés majeurs du dark web, probablement parce que lorsque des mots de passe sont convenablement sécurisés, la valeur qu’ils ont pour les cybercriminels diminue. Etant donné que cette histoire prend de l’ampleur, je vous conseille de garder un œil sur Threatpost, leurs articles relatant toujours des dernières actualités.
Que faut-il faire ?
Tout compte fait, cette faille n’est qu’une de plus sur la liste grandissante des fuites de données de sites importants. Dropbox rejoint LinkedIn, Myspace, Tumblr, OKCupid et Spotify (x2), entre autres. Les hackers trouvent de la valeur dans les données des comptes, et nous savons que ces derniers n’hésitent pas à passer à l’attaque. Par conséquent, en tant que citoyens du monde numérique, nous devons nous montrer plus vigilants quant à la façon de sécuriser nos vies en ligne. Comme pour n’importe quelle faille majeure, nous vous livrons cinq conseils essentiels à appliquer pour votre sécurité en ligne :
1.Utilisez des mots de passe sécurisés et actualisez-les régulièrement. Peut-on tous s’accorder pour dire que garder le même mot de passe pendant quatre ans n’est pas une bonne idée ? Au-delà de ça, les mots de passe devraient être faciles à mémoriser et sécurisés (pour vous entraîner à créer des mots de passe efficaces, testez leur fiabilité sur notre plateforme).
Also, for tips on creating secure but memorable passwords, please see http://t.co/Q6qWwHUF9v #carphonewarehouse #Kaspersky #securepasswords
— David Emm (@emm_david) August 10, 2015
Changer régulièrement ses mots de passe sur des sites importants est de toute façon une règle d’or. Pensez aux banques en ligne, à Facebook, LinkedIn et votre boîte mail personnelle. Si l’idée de créer, changer, et vous rappeler de vos mots de passe vous semble compliquée, vous pouvez toujours utiliser un gestionnaire de mots de passe tel que Kaspersky Password Manager.
2.Supprimez vos vieux comptes. Lorsque nous avions écrit un article au sujet de Myspace en mai dernier, une question récurrente avait fait son apparition « Tout le monde sur Myspace utilise-t-il le réseau social ? » Eh bien non, beaucoup de comptes inactifs demeurent. De nombreux utilisateurs avaient créé un compte gratuit au début des années 2000 et lorsque des réseaux sociaux révolutionnaires tels que Twitter et Facebook firent leur apparition, ils avaient tout simplement oublié leur compte Myspace, détrôné par les deux géants des réseaux sociaux.
Un principe de base à suivre est de se débarrasser de n’importe quel compte que vous n’utilisez plus. La raison principale est que si vous n’êtes pas actif quotidiennement sur un compte ou que vous ne changez pas régulièrement vos mots de passe, vous courez un risque, et plus particulièrement si vous avez tendance à réutiliser le même mot de passe.
3.A ce sujet : ne réutilisez pas les mêmes mots de passe. J’en avais déjà parlé auparavant, mais ça mérite un petit rappel. Vous devez comprendre que vous ne devez pas réutiliser vos mots de passe. Même si ça peut vous paraître plus facile, pensez que ce même mot de passe que vous utilisez sur la Communauté de My Little Pony peut être détourné pour permettre aux hackers d’accéder à votre compte bancaire.
4.Activez l’authentification à deux facteurs. La plupart des services en ligne offrent désormais aux utilisateurs l’authentification à deux facteurs. Ils utilisent une appli ou un SMS de vérification afin de s’assurer que la personne qui s’identifie sur le compte est bien celle autorisée à y accéder (Remarque : Dropbox propose cette option).
What is two-factor authentication and where should you enable it? http://t.co/WSvDc9oSvb #passwords #privacy #security
— Kaspersky (@kaspersky) June 9, 2014
5.Faites attention à l’intégration tierce. De nombreux services en ligne, tels que Facebook et Dropbox, vous laissent vous connecter à des applications tierces pour des fonctions extra, telles que partager des fichiers, ou défier des amis à des jeux. Souvent, elles peuvent vous simplifier la vie (en vous évitant de vous rappeler d’un mot de passe). Mais le revers de la médaille de cette facilité d’utilisation est synonyme de plus de failles potentielles de sécurité. Il est certain qu’une App X peut vous faire gagner du temps lorsqu’il s’agit de partager des mises à jour, mais garantit-elle suffisamment la sécurité des clés qui mènent à votre château numérique ?
Avant de vous connecter sur n’importe quel type de service, réfléchissez-y à deux fois. Est-ce indispensable de n’utiliser qu’un seul identifiant, ou de créer un autre compte ? La réponse est entre les mains de chaque utilisateur, mais la question doit être sérieusement considérée.
Pour conclure, la faille des données de Dropbox est un exemple de plus qui nous ouvre les yeux sur la façon dont les cybercriminels continuent de cibler des identités numériques. Nous vous recommandons vivement de suivre les conseils que nous venons de vous donner pour votre sécurité. Comme pour notre vie de tous les jours, nous devons faire tout aussi attention sur Internet.