Dropbox a été le premier service d’espace de stockage cloud grand public disponible et a ouvert de nombreuses voies pour le secteur. Malheureusement, il a également commis de nombreux faux pas au fil des ans, dont le pire a été la fuite de données de Dropbox en 2012, la plus importante que le secteur ait connue. Nous avons rassemblé cette chronologie des problèmes de sécurité de Dropbox afin que vous puissiez décider par vous-même s’il s’agit toujours du fournisseur qu’il vous faut.

Si après avoir lu ceci vous êtes prêt à franchir le pas, consultez ce guide rapide pour supprimer votre compte Dropbox. Enfin, alors que vous envisagez une alternative à Dropbox, nous partageons également ci-dessous des informations sur Proton Drive, qui est bien plus sécurisé.

Fuites de données de sécurité de Dropbox : une chronologie

Dropbox a été lancé en 2008 et, depuis 2011, a connu une forme de fuite de données presque chaque année, bien que le rythme ait quelque peu ralenti récemment. Pourtant, au moment de décider à quel service d’espace de stockage cloud confier vos fichiers, il est important d’examiner ses antécédents.

2011 : bug de mot de passe Dropbox

Le premier scandale de Dropbox est survenu en juin 2011, trois ans seulement après sa création. À cause d’un bug, pendant une période d’environ quatre heures, le système Dropbox acceptait n’importe quel mot de passe(nouvelle fenêtre), ce qui signifie que n’importe qui pouvait accéder à n’importe quel compte tant qu’il connaissait le nom d’utilisateur ou le message électronique — un bon argument pour utiliser un nom d’utilisateur sûr.

Cela dit, il convient de noter que la correction réelle du problème n’a pris que cinq minutes à l’équipe Dropbox une fois qu’elle en a été informée. Cependant, pendant ces quatre heures, chaque compte Dropbox était grand ouvert. C’est par pur hasard qu’aucun attaquant n’a découvert la vulnérabilité pendant ce laps de temps.

2012 : fuite de données de Dropbox, 68 millions de mots de passe compromis

En juillet 2012, Dropbox a indiqué(nouvelle fenêtre) que certains noms d’utilisateur et mots de passe avaient été volés sur d’autres sites, puis utilisés pour accéder à Dropbox (une bonne raison de créer des mots de passe forts pour chaque site séparément). Dropbox a réagi en déployant des mesures de sécurité pour rendre l’accès non autorisé plus difficile.

Jusqu’ici, tout allait bien, mais en 2016, il est apparu que Dropbox n’avait pas raconté toute l’histoire(nouvelle fenêtre) : parmi les personnes piratées en 2012 figurait un employé de Dropbox qui avait également utilisé son mot de passe professionnel sur LinkedIn. Cela a permis aux attaquants d’accéder aux systèmes de Dropbox.

Une fois que l’histoire a éclaté en 2016 — quatre ans après la fuite de données initiale — il est rapidement apparu qu’environ 68 millions d’utilisateurs avaient été compromis, ce qui en faisait le plus grand piratage de l’histoire du cloud et l’un des plus importants de l’histoire d’Internet, tout simplement. À cela s’est ajouté le scandale de Dropbox, une entreprise d’envergure, qui a mis quatre ans à reconnaître l’ampleur réelle des dommages causés.

2013 : allégations relatives à PRISM

Lorsqu’en 2013, Edward Snowden a révélé au journal The Guardian que le gouvernement des États-Unis espionnait des personnes dans le monde entier par le biais du programme PRISM, l’un des noms(nouvelle fenêtre) cités était Dropbox. Selon Snowden, l’entreprise était impatiente de collaborer avec les autorités américaines, le qualifiant de « partenaire potentiel de PRISM(nouvelle fenêtre) ».

On ne sait pas exactement si Dropbox a fini par rejoindre le projet PRISM — l’entreprise l’a toujours nié — mais le fait qu’un service d’espace de stockage sur le cloud soit décrit comme enthousiaste à l’idée de rejoindre un complot de surveillance massive devrait probablement faire réfléchir les utilisateurs.

2017 : des données ressuscitées

En janvier 2017, certains utilisateurs de Dropbox ont été confrontés à quelque chose de très étrange : des fichiers qu’ils avaient supprimés, parfois il y a plusieurs années, sont soudainement réapparus dans leurs comptes Dropbox. Après quelques recherches, Dropbox a découvert qu’un bug(nouvelle fenêtre) s’était glissé dans le code, empêchant la suppression définitive des fichiers et des dossiers.

Bien que cela puisse paraître inoffensif au premier abord, nous supprimons souvent des fichiers pour une raison précise et le fait que des données potentiellement sensibles aient pu continuer à exister comme des fantômes même après avoir été détruites est un problème très sérieux. Encore une fois, ce n’est pas le genre de chose que vous attendriez de la part d’une entreprise comme Dropbox.

2018 : données partagées sans consentement

En juillet 2018, une intéressante étude de Harvard(nouvelle fenêtre) a été publiée, dans laquelle les efforts de collaboration de milliers de personnes ont été utilisés comme points de données pour déterminer comment les équipes peuvent travailler ensemble. Un sujet passionnant qui a abouti à des conclusions très originales. Cependant, les données utilisées provenaient de Dropbox, et il n’a jamais été demandé(nouvelle fenêtre) aux personnes concernées si elles pouvaient être utilisées de cette manière.

Bien que les données utilisées aient été anonymisées avant d’être envoyées aux chercheurs (ce qui n’était pas précisé dans la première version de l’article), il est tout de même dérangeant qu’un service auquel vous avez confié vos données les ait partagées avec des tiers sans votre accord, qu’elles soient anonymisées ou non.

De plus, vous pourriez soutenir que les données anonymes ne sont pas si anonymes que cela, car il existe des moyens de reconstituer l’identité de quelqu’un même lorsque les noms sont retirés des dossiers numériques.

2022 : le retour de l’attaque par hameçonnage

Le scandale le plus récent de Dropbox remonte à novembre 2022, lorsque, une fois de plus, les identifiants d’un employé de Dropbox ont été volés(nouvelle fenêtre) lors d’une attaque par hameçonnage.

Cette fois-ci, les attaquants ont usurpé l’identité de GitHub, un site où les développeurs stockent leur code. Dans ce cas, les voleurs sont repartis avec des adresses e-mail et des mots de passe appartenant aussi bien à des employés de Dropbox qu’à des clients. Il convient également de noter que c’est GitHub lui-même qui a signalé l’attaque, et non Dropbox.

En réponse, Dropbox a déclaré qu’à aucun moment les fichiers des clients n’avaient été en danger, pas plus que ses modules centraux, les parties qui composent Dropbox et qui pourraient donc menacer l’ensemble du système si elles étaient exposées. C’est une chance pour eux, mais c’est une piètre consolation pour toute personne dont le message a été utilisé par des cybercriminels.

Que pouvez-vous utiliser à la place de Dropbox ?

Comme le démontre la chronologie ci-dessus, Dropbox pourrait faire beaucoup mieux qu’actuellement — et par le passé. Bien que ce ne soit pas aussi grave qu’avec LastPass, l’entreprise a manqué à ses obligations à plus d’une reprise. Souvent, l’ampleur et la gravité des incidents n’ont pas été signalées par Dropbox, ce qui suggère un manque de conscience ou de transparence. Et le plus souvent, les fuites de données ont été causées par de mauvaises pratiques de sécurité.

En particulier, l’absence de chiffrement de bout en bout chez Dropbox est préoccupante. Lorsqu’un service d’espace de stockage sur le cloud protège vos fichiers avec un chiffrement de bout en bout, cela signifie que vos données sont chiffrées sur votre appareil avant d’être envoyées vers le cloud. Toute fuite de données ultérieure sur les serveurs du cloud ne permettrait pas d’exposer vos données. Nous détaillons ces points et bien d’autres dans notre article sur la sécurité de Dropbox.

C’est avec ces failles des principaux fournisseurs d’espace de stockage sur le cloud à l’esprit que nous avons développé Proton Drive, une alternative sécurisée et chiffrée de bout en bout qui offre à la fois une sécurité de pointe et une expérience utilisateur agréable. Même si nous voulions voir vos données — ce qui n’est pas le cas, car notre modèle économique consiste à protéger votre respect de la vie privée — nous ne pourrions tout simplement pas y accéder.

Cette promesse de respect de la vie privée est au cœur de Proton depuis sa fondation et, grâce à nos soutiens, nous avons pu la tenir sans avoir besoin de financement extérieur. Notre seule obligation est donc envers vous, notre communauté.

Si l’utilisation d’une option d’espace de stockage sur le cloud sécurisée et privée vous intéresse, rejoignez Proton Drive gratuitement et découvrez ce que serait un web respectueux de la vie privée.