Tech & internet

Dropbox n'a pas été hacké, mais vous devriez quand même changer vos mots de passe

Grégor Brandy, mis à jour le 14.10.2014 à 19 h 09

Cet épisode vient nous rappeler que notre identité numérique est vulnérable.

password hell Ron Bennetts via Flickr CC License by

password hell Ron Bennetts via Flickr CC License by

Sept millions d'identifiants et de mots de passe lâchés dans la nature.

Ce mardi 14 octobre, plusieurs médias américains expliquent que Dropbox s'est fait hacker. Au total, sept millions de combinaisons utilisateur/mot de passe auraient été volées. Une partie de ces données a été mise en ligne sur Pastebin, un site qui permet de partager des documents de façon anonyme. Le reste attend toujours d'être publié, comme l'indique le site spécialisé Neowin:

«[Nous sommes] en mesure de confirmer que certains de ses comptes existent vraiment et que cela semble être une véritable faille de sécurité. Certaines des combinaisons permettent en effet de se connecter à Dropbox.»

Sauf que... la faille ne viendrait pas de Dropbox, selon Dropbox lui-même. 

«Les récents articles qui racontent que Dropbox a été hacké sont faux. Vos affaires sont en sécurité. Les identifiants et mots de passe référencés dans ces articles ont été volés sur d'autres services, pas sur Dropbox. Ces agresseurs ont ensuite utilisé ces combinaisons pour se connecter à de multiples sites sur Internet, dont Dropbox.»

C'est le principe résumé par le compte Twitter @SwiftOnSecurity, en début de matinée:

«1) Les gens utilisent le même mot de passe. 2) Le service A se fait pirater. 3) Les pirates essaient de se connecter à d'autres sites, et trouvent que cela marche. 4) Ils disent avoir piraté le service B.»

On comprend alors que Tom Cook, ingénieur «fiabilité» (SRE) de Dropbox, se soit énervé quand il a expliqué sur Twitter que son entreprise n'a en fait été victime d'aucune intrusion:

That great thing where the tech press will go "Dewey Defeats Truman" in a headline, find out they were wrong, then leave the headline as-is.

— Tom Cook (@ywxwy) October 14, 2014

...then leave the original, completely false, story unchanged, but add an "update" at the very bottom that negates everything above it.

— Tom Cook (@ywxwy) October 14, 2014

«Ce truc génial quand la presse tech raconte que "Dewey bat Truman" [en 1948, le Chicago Tribune avait annoncé à tort la victoire de Thomas Dewey sur Harry Truman lors des présidentielles américaines] découvre qu'elle a faux, et laisse ensuite le titre comme il est... et laisse l'article, complètement faux, sans y changer quoi que ce soit, mais ajoute une "mise à jour", à la fin, qui contredit tout ce qui est raconté au-dessus.»

La même chose s'est produite avec l'application de photos et vidéos éphémères Snapchat, vendredi dernier. A la suite d'une fuite présumée de centaines de milliers de fichiers –pourtant censés disparaître–, la compagnie avait vite démenti le fait d'avoir été hackée. Et avait indiqué que c'était une application tierce, conçue pour sauvegarder les clichés et vidéos (qu'elle tente d'ailleurs d'interdire à ce titre), qui était responsable. Cette application, Snapsaved, a reconnu son erreur, dès le lendemain:

«J'aimerais informer le public que snapsaved.com a été hacké. [...] Snapchat n'a pas été hacké et ces images ne proviennent pas de leur base de données.»

Ne pas utiliser le même mot de passe partout

Dans le cas de Dropbox, le problème vient du fait que les utilisateurs utilisent le même mot de passe pour plusieurs services. Comme l'a montré @SwiftOnSecurity, les personnes qui mettent la main sur des combinaisons vont ensuite regarder sur d'autres sites et services pour voir s'ils sont réutilisés. S'ils le sont, c'est le jackpot: ces individus peuvent prendre le contrôle de tous vos comptes.

Concrètement, cela signifie que l'on peut avoir accès à vos comptes mail, Facebook, Twitter et à partir de là, jouer avec, voire supprimer une partie de votre identité numérique.

La meilleure solution est donc de choisir un mot de passe pour chaque site ou service que vous utilisez. Oui, c'est contraignant, mais comme l'expliquait Adrian Kingsley-Hughes sur ZDNet, «réutiliser ses mots de passe, C'EST MAL».

Il y a deux solutions. Soit, comme le rédacteur en chef du site Internet de Wired UK, vous avez une combinaison magique qui fait que vous êtes capable de vous en souvenir:

«Vous ne devinerez pas mon mot de passe, mais j'ai une formule dans ma tête. Selon le nom du site, le type de site que c'est, à quelle fréquence je l'utilise, et quelques autres facteurs m'aident à créer une séquence de lettres et nombres qui sont uniques pour chaque site Web. Je ne me rappelle d'aucun d'entre eux, mais je sais comment les retrouver si j'en ai besoin.

Imaginons que je veux un mot de passe Google. Je pourrais utiliser les deux premières lettres "go". Ensuite, je cherche à savoir si c'est un service de mail, etc.

Et je sais que le premier qui me vient à l'esprit est celui auquel j'ai dû penser quand je créais mon mot de passe.»

Efficace? Très. Fastidieux? Aussi. Si vous ne pensez pas être capable d'en faire autant, quelques jours après la révélation du bug Heartbleed, Lily Hay Newman avait expliqué pourquoi elle préférait de son côté s'en remettre aux gestionnaires de mot de passe.

«Un gestionnaire de mots de passe vous aide à générer des mots de passe forts et aléatoires, pour que vous n’ayez pas à le faire vous-même. Il enregistre ensuite les identifiants de tous les sites que vous utilisez et remplit automatiquement le mot de passe quand on vous en demande un. Vous n’avez plus besoin de connaître ou de vous souvenir de tous vos mots de passe, parce qu’ils sont tous entreposés et protégés par un mot de passe principal que vous devez rendre extrêmement fort et indevinable.»

En clair, vous n'avez alors besoin de vous souvenir que d'un seul mot de passe. Le reste est entreposé dans votre gestionnaire. Et cela devrait vous permettre d'éviter de donner accès à la totalité de vos comptes.

Grégor Brandy
Grégor Brandy (439 articles)
Journaliste
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour réaliser des statistiques de visites, vous proposer des publicités adaptées à vos centres d’intérêt et nous suivre sur les réseaux sociaux. > Paramétrer > J'accepte