ProtonBlog
S'abonner par RSS
Dropbox security issues

Chronologie des problèmes de sécurité de Dropbox

Partagez cette page

Dropbox a été le premier service de stockage cloud (ou stockage « dans le nuage ») grand public disponible et a ouvert la voie à de nombreuses innovations dans l’industrie. Malheureusement, l’entreprise a aussi fait beaucoup de faux pas au fil des ans, le pire étant la fuite de Dropbox en 2012, la plus importante que le secteur ait connue. Nous avons compilé cette chronologie des problèmes de sécurité de Dropbox pour que vous puissiez décider par vous-même si c’est toujours le fournisseur qu’il vous faut.

Si après lecture vous êtes prêt à franchir le pas, consultez ce guide rapide pour supprimer votre compte Dropbox. Et enfin, alors que vous envisagez une alternative à Dropbox, nous partageons également ci-dessous des informations sur Proton Drive, qui est bien plus sécurisé.

Chronologie des failles de sécurité de Dropbox

Dropbox a été lancé en 2008 et a été confronté depuis 2011 à des fuites de données presque chaque année, même si le rythme s’est quelque peu ralenti ces derniers temps. Quand vous décidez de confier vos fichiers à un service de stockage cloud, il est important d’examiner son historique.

2011 : bug du mot de passe Dropbox

Le premier scandale de Dropbox a eu lieu en juin 2011, seulement trois ans après sa création. À cause d’un bug, pendant environ quatre heures, le système Dropbox acceptait n’importe quel mot de passe(new window), ce qui signifie que n’importe qui pouvait accéder à n’importe quel compte à condition de connaître le nom d’utilisateur ou l’e-mail (un bon argument pour utiliser un nom d’utilisateur sûr).

Cela dit, il convient de noter qu’en réalité, la résolution du problème a pris seulement cinq minutes à l’équipe de Dropbox une fois qu’ils en ont été informés. Cependant, pendant ces quatre heures, chaque compte Dropbox était grand ouvert. C’était une chance incroyable qu’aucun attaquant n’ait découvert la vulnérabilité pendant ce laps de temps.

2012 : fuite de données chez Dropbox, plus de 68 millions de mots de passe compromis

En juillet 2012, Dropbox signalait(new window) (article en anglais) que certains noms d’utilisateur et mots de passe avaient été dérobés sur d’autres sites, puis utilisés pour accéder à Dropbox (une bonne raison de créer des mots de passe forts pour chaque site séparément). Dropbox a réagi en déployant des mesures de sécurité pour rendre l’accès non autorisé plus difficile.

Jusque-là, tout allait bien, mais en 2016 il a été découvert que Dropbox n’avait pas dit toute la vérité(new window) : parmi les personnes piratées en 2012 se trouvait un employé de Dropbox qui avait également utilisé son mot de passe professionnel sur LinkedIn. Cela a donné aux attaquants l’accès aux systèmes de Dropbox.

Une fois que l’histoire a été révélée en 2016, soit quatre ans après la faille initiale, il est rapidement apparu qu’environ 68 millions d’utilisateurs avaient été compromis, ce qui en fait le plus grand piratage de l’histoire du stockage cloud et l’un des plus grands de l’histoire d’internet. À cela s’ajoutait le scandale de Dropbox, une entreprise majeure, ayant mis quatre ans à reconnaître l’ampleur des dégâts causés.

2013 : allégations concernant PRISM

Lorsque, en 2013, Edward Snowden révèle au journal The Guardian que le gouvernement des États-Unis espionne des personnes partout dans le monde via le programme PRISM, l’un des noms(new window) mentionnés est Dropbox. Selon Snowden, « Dropbox est un collaborateur zélé du programme PRISM(new window) mis en place par la NSA pour obtenir une voie d’accès directe aux données hébergées par des sociétés américaines ».

Il n’est pas certain que Dropbox se soit joint au projet PRISM, ce que l’entreprise a toujours nié, mais le fait qu’un service de stockage cloud soit décrit comme étant enthousiaste à l’idée de participer à une conspiration de surveillance massive devrait donner à réfléchir.

2017 : des données ressuscitées

En janvier 2017, certains utilisateurs de Dropbox ont constaté quelque chose de très étrange : des fichiers qu’ils avaient supprimés, parfois des années auparavant, sont soudainement réapparus dans leurs comptes Dropbox. Après quelques recherches, Dropbox a découvert un bug(new window) qui s’était glissé dans le code et empêchait les fichiers et dossiers d’être définitivement supprimés.

Bien que cela puisse sembler anodin au premier abord, nous supprimons souvent des fichiers pour une raison et le fait que des données potentiellement sensibles puissent continuer à exister telles des fantômes, même après avoir été détruites, est un problème très sérieux. Encore une fois, ce n’est pas ce à quoi on s’attendrait de la part d’une société comme Dropbox.

2018 : des données partagées sans consentement

En juillet 2018, une étude intéressante de Harvard(new window) a été publiée (article en anglais), où les efforts collaboratifs de milliers de personnes ont été utilisés comme points de données pour déterminer comment les équipes peuvent travailler ensemble. Des découvertes captivantes qui se sont révélées très originales. Toutefois, les données utilisées provenaient de Dropbox et les personnes concernées n’ont jamais été consultées(new window) quant à leur utilisation de cette manière (article en anglais).

Bien que les données utilisées aient été anonymisées avant d’être envoyées aux chercheurs (ce qui n’était pas précisé dans la première version de l’article), le fait qu’un service auquel vous faites confiance partage vos données avec des tiers sans votre accord, qu’elles soient anonymisées ou non, devrait vous laisser perplexe.

De surcroît, on pourrait arguer que les données anonymes ne sont pas totalement anonymes, étant donné qu’il existe des méthodes pour reconstruire l’identité d’une personne, même lorsque les noms sont retirés des dossiers numériques.

2022 : le retour de l’attaque de type phishing (hameçonnage)

Le dernier scandale Dropbox remonte à novembre 2022, lorsque, encore une fois, les identifiants d’un employé Dropbox ont été dérobés(new window) lors d’une attaque par phishing.

Cette fois-ci, les attaquants se sont fait passer pour GitHub, un site sur lequel les développeurs stockent leur code. Dans ce cas, les voleurs se sont enfuis avec des e-mails et des mots de passe appartenant à la fois aux employés et aux clients de Dropbox. Il convient également de noter que c’est GitHub lui-même qui a signalé l’attaque, pas Dropbox.

En réponse, Dropbox a affirmé qu’à aucun moment les fichiers des clients n’ont été en danger, ni aucun de ses modules centraux, qui composent Dropbox et pourraient donc menacer l’ensemble du système s’ils étaient exposés. C’est une chance pour eux, mais ce n’est pas une grande consolation pour tous ceux dont l’adresse électronique a été utilisée par des cybercriminels.

Quelles alternatives pouvez-vous utiliser à la place de Dropbox ?

Comme le montre la chronologie ci-dessus, l’entreprise Dropbox pourrait faire beaucoup mieux que ce qu’elle fait et a fait. Bien que l’on ne soit pas au même niveau de problème que pour LastPass, elle a manqué à son devoir à plusieurs reprises. Souvent, l’étendue et la gravité des incidents n’ont pas été communiquées par Dropbox, ce qui suggère un manque de conscience ou de transparence. Et le plus souvent, les violations ont été causées par des pratiques de sécurité insuffisantes.

En particulier, l’absence de chiffrement de bout en bout chez Dropbox est préoccupante. Lorsqu’un service de stockage cloud protège vos fichiers avec un chiffrement de bout en bout, cela signifie que vos données sont chiffrées sur votre appareil avant d’être envoyées dans le cloud. Toute violation ultérieure des serveurs cloud ne résulterait en aucune exposition de données. Nous approfondissons ces aspects et d’autres dans notre article sur la sécurité de Dropbox.

C’est en gardant à l’esprit ces failles des fournisseurs de stockage cloud grand public que nous avons développé Proton Drive, une alternative sécurisée et chiffrée de bout en bout offrant une sécurité de pointe et une expérience utilisateur agréable. Même si nous voulions voir vos données (ce qui n’est pas le cas, notre business model consiste à protéger votre vie privée), il nous est tout simplement impossible d’y accéder.

Cette promesse de confidentialité est au cœur de Proton depuis notre création et grâce à nos soutiens, nous avons pu y parvenir sans nécessiter de financement extérieur. Notre seule obligation est donc envers vous, notre communauté.

Si l’idée d’utiliser une option de stockage cloud sécurisée et privée vous séduit, rejoignez Proton Drive gratuitement et découvrez à quoi ressemblerait un web privé.

Protégez votre vie privée avec Proton
Créer un compte gratuit

Articles similaires

What to do if someone steals your Social Security number
en
If you’re a United States citizen or permanent resident, you have a Social Security number (SSN). This number is the linchpin of much of your existence, linked to everything from your tax records to your credit cards. Theft is a massive problem, whic
compromised passwords
en
  • Vie privée, les fondamentaux
How do passwords become compromised?
Compromised passwords are a common issue and probably one of the biggest cybersecurity threats for regular people. How do passwords get compromised, and is there anything you can do to prevent it? * What does compromised password mean? * How do pa
Is WeTransfer safe?
en
  • Vie privée, les fondamentaux
Is WeTransfer safe?
WeTransfer is a popular service used by millions worldwide to send large files. You may have wondered if it’s safe or whether you should use it to share sensitive files. We answer these questions below and present a WeTransfer alternative that may su
what is a dictionary attack
en
  • Vie privée, les fondamentaux
What is a dictionary attack?
Dictionary attacks are a common method hackers use to try to crack passwords and break into online accounts.  While these attacks may be effective against people with poor account security, it’s extremely easy to protect yourself against them by usi
Les fuites de données sont de plus en plus courantes. Lorsque vous vous inscrivez à un service en ligne, vous fournissez des informations personnelles précieuses pour les pirates, telles que des adresses e-mail, des mots de passe, des numéros de télé
Une communication sécurisée et fluide est la base de toute entreprise. Alors que de plus en plus d’organisations sécurisent leurs données avec Proton, nous avons considérablement élargi notre écosystème avec de nouveaux produits et services, de notre