L'expert en sécurité Derek Newton a tenu à savoir ce que les logiciels de synchronisation de fichiers laissaient derrière eux sur un ordinateur. Ce faisait, il est tombé sur une faiblesse de Dropbox qui peut permettre à un utilisateur malintentionné se connecter silencieusement à un compte Dropbox et ainsi pouvoir accéder à tous les fichiers stockés en ligne.
C'est une faiblesse plus qu'une réelle faille : il faut avoir accès à la machine de l'utilisateur que l'on cible pour pouvoir exécuter son plan. Dropbox stocke en fait dans des fichiers (bases SQLite) les données de la configuration, la liste des dossiers et fichiers, et même l'identifiant de l'utilisateur. Si l'on récupère ces fichiers et qu'on les transfère sur une autre machine sur laquelle est installée Dropbox, on est alors automatiquement connecté sur le compte de l'utilisateur a qui l'on a pris ces fichiers, sans qu'il ne le voie, et sans avoir besoin de fournir le moindre mot de passe. Même chose si l'on change l'ID de l'utilisateur pour le sien : la Dropbox continuera à fonctionner sans problème chez l'utilisateur, et se mettra à fonctionner aussi chez le « pirate ». Ces manipulations ont été testées avec succès sous Windows, mais le fonctionnement de Dropbox semble être le même sur Mac.
La principale difficulté est donc de se procurer ces fichiers : l'accès physique à la machine ne peut pas être considéré comme une faille de sécurité. On pourrait néanmoins envisager la création d'un cheval de Troie dont la mission serait de discrètement récupérer ces fichiers : les pirates pourraient alors avoir accès à de nombreuses Dropbox, qui peuvent contenir des documents avec des données sensibles (mots de passe, etc.). Le problème est donc que ces fichiers sont trop peu sécurisés, un point qui appellera certainement une réponse de la part de Dropbox.
En attendant, les parades sont simples. On peut évidemment décider d'arrêter d'utiliser Dropbox, mesure un peu radicale : mieux vaut donc s'assurer que les données les plus sensibles sont au moins chiffrées (les bases 1Password stockées sur une Dropbox, par exemple, sont chiffrées avec le mot de passe maître). Enfin, n'hésitez pas à vérifiez sur votre compte que vous connaissez tous les ordinateurs et appareils liés à votre Dropbox : supprimez toute ancienne machine ou toute machine inconnue.
C'est une faiblesse plus qu'une réelle faille : il faut avoir accès à la machine de l'utilisateur que l'on cible pour pouvoir exécuter son plan. Dropbox stocke en fait dans des fichiers (bases SQLite) les données de la configuration, la liste des dossiers et fichiers, et même l'identifiant de l'utilisateur. Si l'on récupère ces fichiers et qu'on les transfère sur une autre machine sur laquelle est installée Dropbox, on est alors automatiquement connecté sur le compte de l'utilisateur a qui l'on a pris ces fichiers, sans qu'il ne le voie, et sans avoir besoin de fournir le moindre mot de passe. Même chose si l'on change l'ID de l'utilisateur pour le sien : la Dropbox continuera à fonctionner sans problème chez l'utilisateur, et se mettra à fonctionner aussi chez le « pirate ». Ces manipulations ont été testées avec succès sous Windows, mais le fonctionnement de Dropbox semble être le même sur Mac.
La principale difficulté est donc de se procurer ces fichiers : l'accès physique à la machine ne peut pas être considéré comme une faille de sécurité. On pourrait néanmoins envisager la création d'un cheval de Troie dont la mission serait de discrètement récupérer ces fichiers : les pirates pourraient alors avoir accès à de nombreuses Dropbox, qui peuvent contenir des documents avec des données sensibles (mots de passe, etc.). Le problème est donc que ces fichiers sont trop peu sécurisés, un point qui appellera certainement une réponse de la part de Dropbox.
En attendant, les parades sont simples. On peut évidemment décider d'arrêter d'utiliser Dropbox, mesure un peu radicale : mieux vaut donc s'assurer que les données les plus sensibles sont au moins chiffrées (les bases 1Password stockées sur une Dropbox, par exemple, sont chiffrées avec le mot de passe maître). Enfin, n'hésitez pas à vérifiez sur votre compte que vous connaissez tous les ordinateurs et appareils liés à votre Dropbox : supprimez toute ancienne machine ou toute machine inconnue.
