Dropbox a partagé les résultats d’une enquête à propos du piratage de son infrastructure. L’entreprise n’indique pas quand l’incident a eu lieu et souligne que des employés de l’entreprise ont détecté l’attaque le 24 avril. Dans cet article, nous vous expliquons ce qui s’est passé, quelles données ont été divulguées et comment protéger vos données et celles de votre entreprise des conséquences de cet incident.
Piratage de Dropbox Sign : comment est-ce arrivé et quelles données ont été volées
Des cybercriminels non identifiés ont réussi à compromettre le service Dropbox Sign puis à accéder au mécanisme de configuration automatique interne de la plateforme. Grâce à cet accès, les cybercriminels ont pu mettre la main sur une base de données qui contient les informations des utilisateurs de Dropbox Sign.
Par conséquent, les données suivantes des utilisateurs du service Sign ont été volées :
- Identifiants
- Adresses e-mail
- Numéros de téléphone
- Mots de passe (hachage)
- Clés d’authentification pour l’API de Dropbox Sign
- Jetons d’authentification OAuth
- Jetons d’authentification à double facteur par SMS ou via une application
Si les utilisateurs ont interagi avec le service mais n’ont pas créé de compte, seul les noms et les adresses e-mail ont été divulgués.
Dropbox affirme n’avoir détecté aucun signe d’accès non autorisé au contenu des comptes des utilisateurs, c’est-à-dire aux documents et aux accords, ainsi qu’aux informations de paiement.
Comme mesure de protection, Dropbox a réinitialisé les mots de passe de tous les comptes Dropbox Sign et a fermé toutes les sessions actives. Ainsi, vous devrez vous connecter à nouveau au service et choisir un nouveau mot de passe.
Le piratage de Dropbox Sign concerne-t-il tous les utilisateurs de Dropbox ?
Dropbox Sign, anciennement connu comme HelloSign, est un outil autonome de flux de travail de documents Cloud de Dropbox, principalement utilisé pour la signature électronique de documents. DocuSign et Adobe Sign sont les services les plus similaires.
Comme l’entreprise l’a expliqué dans ses déclarations, l’infrastructure de Dropbox Sign est isolée des autres services Dropbox. À en juger par les résultats de l’enquête menée par l’entreprise, le piratage de Dropbox Sign est un incident isolé qui n’a pas affecté les autres produits Dropbox. Ainsi, selon les informations dont nous disposons maintenant, cet incident ne menace en aucun cas les utilisateurs du service principal de Dropbox, c’est-à-dire le stockage de fichiers sur le Cloud Dropbox. C’est également le cas pour les utilisateurs dont le compte Sign est associé au compte principal Dropbox.
Que faire si votre compte Dropbox Sign a été piraté ?
Dropbox a déjà réinitialisé les mots de passe de tous les comptes Dropbox Sign. Vous devez donc changer votre mot de passe dans tous les cas. Nous vous conseillons d’utiliser un nouveau mot de passe au lieu d’en choisir un légèrement différent à l’antérieur. Dans l’idéal, vous devriez générer une longue combinaison aléatoire de caractères à l’aide d’un gestionnaire de mots de passe et y stocker votre mot de passe.
Étant donné que les jetons d’authentification à double facteur ont aussi été volés, vous devez les rétablir. Si vous utilisez les SMS, cette réinitialisation se fait automatiquement. En revanche, vous devez le faire vous-même si vous utilisez une application. Pour ce faire, vous devez à nouveau ajouter le service Dropbox Sign dans l’application d’authentification.
La liste des données volées par les cybercriminels inclut aussi les clés d’authentification pour l’API de Dropbox Sign. Si votre entreprise a utilisé l’API pour accéder au service, vous devez générer une nouvelle clé.
Enfin, si vous avez utilisé le même mot de passe pour d’autres services, vous devez le changer le plus rapidement possible, surtout s’il correspond aussi au même nom d’utilisateur, adresse e-mail ou numéro de téléphone que celui utilisé lorsque vous avez créé votre compte Dropbox Sign. Là encore, il convient d’utiliser notre gestionnaire de mots de passe qui, cela dit en passant, est inclus dans notre solution de sécurité pour les petites entreprises.