Dropbox a mis en place une page de suivi de l'activité de son compte, suite à un accès non autorisé constaté en interne. Une mesure de sécurité qui est (ou va être) complétée par d'autres.En suivant ce lien, on accède à un historique des accès effectués dans sa Dropbox par des ordinateurs, téléphones et tablette. Avec une localisation par pays et une date ou une période horaire.
On peut renommer les machines en question (pour plus de lisibilité lorsqu'il s'agit de clients réguliers), connaître leur adresse IP (et numéro de version du logiciel Dropbox utilisé).
On peut surtout rompre leur attache à votre compte. Chose que l'on peut déjà faire avec le client logiciel (Préférences > Compte)… pour peu qu'on ait l'ordinateur en question sous la main. Au passage, si vous utilisez Gmail, Google propose une page similaire pour regarder qui a accédé à votre messagerie (lien 'Dernière activité sur le compte' en bas à droite dans l'interface web).
Dropbox va également instaurer ces prochaines semaines un système d'authentification à deux niveaux, associant par exemple un code envoyé par SMS en plus de votre mot de passe. Des utilisateurs qui n'ont pas changé de mot de passe depuis longtemps recevront peut-être aussi une invitation à le faire.
Cette panoplie de mesures fait suite à un incident constaté il y a 15 jours. Des utilisateurs de Dropbox s'étaient plaints de spam reçus sur des adresses utilisées uniquement pour Dropbox. Ce dernier a fait aujourd'hui une mise au point :
« Notre enquête a révélé que les noms d'utilisateurs et mots de passe récemment volés provenaient d'autres sites et ont été utilisés pour se connecter à un petit nombre de comptes Dropbox. Nous avons contacté ces utilisateurs et les avons aidés à protéger leurs comptes.
Un mot de passe volé a été aussi utilisé pour accéder au compte Dropbox de l'un de nos employés qui contenait un document pour un projet, avec des adresses email d'utilisateurs. Nous pensons que c'est cet accès frauduleux qui a conduit au spam. »
La société va également déployer des mécanismes de détection automatique d'accès frauduleux sur les comptes de ses utilisateurs.
