Dropbox a été hacké pas une fois, pas deux fois, mais TROIS fois

7 min de lecture Contient des liens d'affiliation
cloud-storage dropbox hacked
Table des Matières

Dropbox a été hacké pas une fois, pas deux fois, mais TROIS fois. Et ils veulent toujours que tu leur confies tes fichiers.

Écoute, je comprends. Dropbox est pratique. C’est partout. C’est facile. Mais voici quelque chose que personne ne te dit : Dropbox a été violé trois fois séparément, et chaque fois c’était à cause de la même merde stupide - des identifiants d’employés compromis.

Laisse-moi te guider à travers cette chronologie de désastre, parce que c’est dangereusement éducatif.

Mais d’abord, laisse-moi être clair : Je gagne de l’argent avec Sync.com, Tresorit, Boxcryptor (liens d’affiliation). Je gagne 0 $ avec Google Drive, Dropbox, OneDrive, iCloud, MEGA (pas de programmes d’affiliation ou je les ai rejetés). Je classe par valeur réelle et coût de confidentialité, pas par commission.

2012 : La Méga-Violation de 68 Millions d’Utilisateurs (qu’ils ont cachée pendant 4 ans)

En 2012, Dropbox s’est fait hacker. Mais ils n’ont raconté à personne l’histoire complète qu’en 2016, quatre ans plus tard, quand 68 millions de noms d’utilisateur et mots de passe sont apparus en ligne.

Comment c’est arrivé : Un employé a réutilisé son mot de passe de LinkedIn (qui avait été violé) pour accéder à son compte Dropbox. Ce compte contenait un document avec des emails et mots de passe d’utilisateurs Dropbox. Fuckup classique de réutilisation de mot de passe.

Ce qui a été exposé :

  • 68 millions d’adresses email
  • 68 millions de mots de passe (la plupart étaient hachés et salés, mais quand même)

Réponse de Dropbox : “Oups, on ne s’est rendu compte à quel point c’était grave qu’en trouvant le dump de données quatre ans plus tard.”

Ouais, ça inspire confiance. PAS DU TOUT !

2022 : L’Attaque de Phishing sur GitHub

Avance rapide jusqu’en novembre 2022. Des hackers ont phishé un développeur Dropbox et obtenu l’accès à son compte GitHub.

Comment c’est arrivé : Ingénierie sociale. Un développeur s’est fait phisher, a donné ses identifiants, et boom, les hackers ont accédé à 130 dépôts de code privés sur GitHub.

Ce qui a été exposé :

  • Code source interne
  • Clés API
  • Identifiants de développeur
  • Données clients potentielles (Dropbox était vague là-dessus)

Le schéma : Encore une fois, ce sont des identifiants d’employé compromis. Pas un exploit sophistiqué de zero-day. Juste du bon vieux phishing.

2024 : Dropbox Sign se fait complètement posséder

Avril 2024. C’est le pire parce que ça a affecté chaque utilisateur individuel de Dropbox Sign (anciennement HelloSign, leur produit de signature électronique).

Selon la divulgation de Dropbox elle-même, des hackers ont obtenu l’accès à un “compte de service” avec des privilèges élevés et accédé à toute la base de données clients.

Ce qui a été exposé :

  • Emails et noms d’utilisateur de tous les utilisateurs de Dropbox Sign
  • Numéros de téléphone
  • Mots de passe hachés
  • Clés API
  • Tokens OAuth
  • Données d’authentification multifactorielle
  • Même les gens qui ont seulement reçu un document à signer ont eu leurs noms et emails exposés

Comment c’est arrivé : Des hackers ont compromis un outil de configuration système automatisé et un compte de service backend. Ce compte avait des privilèges élevés, donc ils pouvaient accéder à tout.

Réponse de Dropbox : Réinitialiser les mots de passe de tout le monde, déconnecter tout le monde, faire tourner les clés API. Tu sais, la merde que tu fais après t’être déjà fait posséder.

Le Schéma : C’est Toujours les Identifiants d’Employés

Tu remarques le thème ici ?

  • 2012 : Réutilisation de mot de passe d’employé
  • 2022 : Phishing d’employé
  • 2024 : Compte de service compromis (encore un problème d’identifiants)

Maintenant, pour être juste envers Dropbox : Les identifiants d’employés sont la chose la plus foutrement difficile à sécuriser en cybersécurité.

Selon le Rapport d’Investigations sur les Violations de Données Verizon 2024, 68 % des violations impliquent un élément humain, phishing, identifiants volés, ingénierie sociale. Même Google et Microsoft se font phisher. Ce n’est pas un problème Dropbox, c’est un problème de tout le monde.

Pourquoi je suis toujours énervé ?

Parce que quand tu détiens 700 millions de fichiers d’utilisateurs et que tu t’es fait violer trois fois pour la même raison, tu dois architecturer ton système de manière qu’un seul identifiant compromis ne puisse pas accéder à toute la base de données clients.

La violation de 2024 est l’exemple parfait : Un compte de service compromis avait des “privilèges élevés” pour accéder à toute la base de données clients de Dropbox Sign. Pourquoi un outil automatisé a besoin d’accès à tout ?

Le vrai problème n’est pas que les employés se fassent phisher. Le vrai problème c’est que quand ils le font, le rayon d’explosion est massif.

Les compagnies avec chiffrement zero-knowledge résolvent ça : Même si des hackers accèdent aux serveurs, ils ne peuvent pas lire tes fichiers parce qu’ils n’ont pas tes clés de chiffrement. Dropbox n’offre pas ça pour les utilisateurs réguliers.

TL;DR : Oui, le vol d’identifiants est difficile à prévenir. Mais c’est exactement pourquoi tu devrais architecturer ton système en assumant que ça va arriver. Dropbox ne l’a pas fait.

Pourquoi Ça Compte Pour Toi

Si tu stockes des fichiers sensibles sur Dropbox, tu dois comprendre quelque chose : Dropbox n’offre pas de chiffrement zero-knowledge. Ça signifie que Dropbox (et quiconque les hacke) peut théoriquement accéder à tes fichiers.

Dropbox utilise le chiffrement AES-256, mais ils détiennent les clés de chiffrement. Donc quand des hackers pénètrent dans leurs systèmes, tes fichiers sont assis là, prêts à être accédés.

Compare ça à des services comme Sync.com ou Tresorit, qui offrent du chiffrement zero-knowledge, ce qui signifie que même s’ils se font hacker, tes fichiers sont chiffrés avec des clés que toi seul as.

Pourquoi Sync.com et Tresorit sont meilleurs.

Sync.com est basé au Canada, qui a des lois de confidentialité plus fortes que les États-Unis (pas de conneries du Patriot Act). Ils offrent du chiffrement zero-knowledge par défaut sur tous les plans, ce qui signifie qu’ils ne peuvent littéralement pas accéder à tes fichiers même s’ils le voulaient. Quand un employé se fait phisher chez Sync.com, tes fichiers restent chiffrés. Ils offrent aussi 5GB gratuit pour tester.

Tresorit est basé en Suisse (encore meilleures lois de confidentialité) et utilise du chiffrement bout à bout pour tout. Ils coûtent un bras, commençant autour de 10,42 $/mois, mais si tu stockes des trucs vraiment sensibles (docs légaux, dossiers médicaux, données financières), ça vaut le coup. Juridiction suisse signifie qu’ils ne sont pas sujets aux lois de surveillance américaines.

Ces deux alternatives à Dropbox existent depuis des années sans violation majeure. Pas parce que leurs employés sont inhackables, mais parce que leur architecture assume que les employés seront compromis et construit autour de ça.

L’architecture de Dropbox assume que les employés ne seront pas compromis. Ils ont été prouvés faux trois fois.

Ce Que Dropbox Fait À Ce Sujet

Après avoir acheté Boxcryptor en 2022, Dropbox a annoncé qu’ils intégreraient le chiffrement privé… mais seulement pour les utilisateurs Business d’abord. Les utilisateurs personnels ? 3 ans plus tard, on attend toujours.

Donc fondamentalement, si tu payes pour Dropbox Business, tu pourrais obtenir une meilleure sécurité éventuellement. Si t’es un utilisateur régulier, tu restes vulnérable.

Mon Avis : Three Strikes, T’es Viré

Écoute, je dis pas que Dropbox est malveillant. Je dis qu’ils ont prouvé, trois fois séparément, qu’ils peuvent pas garder les identifiants d’employés en sécurité. Et quand tout ton modèle de sécurité dépend de garder ces identifiants en sécurité, c’est un sacré de problème.

Options si tu veux une vraie sécurité :

  1. Sync.com - Chiffrement zero-knowledge, basé au Canada (meilleures lois de confidentialité que les États-Unis)
  2. Tresorit - Basé en Suisse, zero-knowledge, cher mais solide
  3. ProtonDrive - Des gens de ProtonMail, zero-knowledge, encore en croissance
  4. Cryptomator - Chiffre tes fichiers localement avant de les uploader sur Dropbox (si tu dois rester avec eux)

Ou continue d’utiliser Dropbox. Sache juste que tu fais confiance à une compagnie qui s’est fait violer trois fois, toujours pour la même raison, et qui n’offre toujours pas de chiffrement zero-knowledge aux utilisateurs réguliers.

Tes fichiers, ton risque.

The Angry Dev

NE faites PAS confiance aux sites d’avis. Les commissions d’affiliation dictent leurs classements. Ceci est aussi un site d’affiliation, mais je suis honnête sur ce que je gagne et je classe par qualité plutôt que par rémunération. Même si cela signifie que je suis payé 0 $. Lisez mon approche et pourquoi j’ai arrêté de raconter des conneries. Voici les données brutes pour que vous puissiez tout vérifier.

VPN | Hébergement | Stockage | Outils

Articles connexes