Dropbox a été le premier service de stockage cloud (ou stockage « dans le nuage ») grand public disponible et a ouvert la voie à de nombreuses innovations dans l’industrie. Malheureusement, l’entreprise a aussi fait beaucoup de faux pas au fil des ans, le pire étant la fuite de Dropbox en 2012, la plus importante que le secteur ait connue. Nous avons élaboré cette chronologie des problèmes de sécurité de Dropbox.
Si après lecture vous êtes prêt à faire le saut, consultez ce guide rapide pour supprimer votre compte Dropbox. Enfin, en considérant une alternative à Dropbox, découvrez Proton Drive, qui est beaucoup plus sécurisé.
Incidents de sécurité de Dropbox : une chronologie
Dropbox a été lancé en 2008 et a été confronté depuis 2011 à des fuites de données presque chaque année, même si le rythme s’est quelque peu ralenti ces derniers temps. Quand vous décidez de confier vos fichiers à un service de stockage cloud, il est important d’examiner son historique.
2011 : bug du mot de passe Dropbox
Le premier scandale de Dropbox a eu lieu en juin 2011. À cause d’un bug, pendant environ quatre heures, le système Dropbox acceptait n’importe quel mot de passe(nouvelle fenêtre), ce qui signifie que n’importe qui pouvait accéder à n’importe quel compte à condition de connaître le nom d’utilisateur ou l’e-mail (un bon argument pour utiliser un nom d’utilisateur sûr).
Cela dit, la correction a pris cinq minutes après notification. Cependant, pendant ces quatre heures, chaque compte était grand ouvert. C’était de la chance qu’aucun attaquant n’ait découvert la vulnérabilité.
2012 : fuite chez Dropbox, 68 millions de mots de passe compromis
En juillet 2012, Dropbox signalait(nouvelle fenêtre) (article en anglais) que certains noms d’utilisateur et mots de passe avaient été dérobés sur d’autres sites, puis utilisés pour accéder à Dropbox (une bonne raison de créer des mots de passe forts pour chaque site séparément). Dropbox a déployé des mesures de sécurité pour rendre l’accès non autorisé plus difficile.
Jusque-là, tout allait bien, mais en 2016 il a été découvert que Dropbox n’avait pas dit toute la vérité(nouvelle fenêtre) : parmi les personnes piratées en 2012 se trouvait un employé de Dropbox qui avait également utilisé son mot de passe professionnel sur LinkedIn. Cela a donné aux attaquants accès aux systèmes de Dropbox.
Une fois que l’histoire a été révélée en 2016, soit quatre ans après la faille initiale, il est rapidement apparu qu’environ 68 millions d’utilisateurs avaient été compromis, ce qui en fait le plus grand piratage de l’histoire du stockage cloud et l’un des plus grands de l’histoire d’internet. En plus, Dropbox a mis quatre ans à reconnaître l’ampleur des dégâts.
2013 : allégations concernant PRISM
Lorsque, en 2013, Edward Snowden révèle au journal The Guardian que le gouvernement des États-Unis espionne des personnes partout dans le monde via le programme PRISM, l’un des noms(nouvelle fenêtre) mentionnés est Dropbox. Selon Snowden, « Dropbox est un collaborateur zélé du programme PRISM(nouvelle fenêtre) mis en place par la NSA pour obtenir une voie d’accès directe aux données hébergées par des sociétés américaines ».
Il n’est pas certain que Dropbox se soit joint au projet PRISM, ce que l’entreprise a toujours nié, mais le fait qu’un service de stockage cloud soit décrit comme étant enthousiaste à l’idée de participer à une conspiration de surveillance massive devrait donner à réfléchir.
2017 : des données ressuscitées
En janvier 2017, certains utilisateurs de Dropbox ont constaté quelque chose de très étrange : des fichiers qu’ils avaient supprimés, parfois des années auparavant, sont soudainement réapparus dans leurs comptes Dropbox. Après quelques recherches, Dropbox a découvert un bug(nouvelle fenêtre) qui s’était glissé dans le code et empêchait les fichiers et dossiers d’être définitivement supprimés.
Un problème sérieux car des données sensibles peuvent rester après suppression. Encore un aspect inattendu pour une entreprise comme Dropbox.
2018 : des données partagées sans consentement
En juillet 2018, une étude intéressante de Harvard(nouvelle fenêtre) a été publiée (article en anglais), où les efforts collaboratifs de milliers de personnes ont été utilisés comme points de données pour déterminer comment les équipes peuvent travailler ensemble. Des éléments captivants avec des découvertes intéressantes. Toutefois, les données utilisées provenaient de Dropbox et les personnes concernées n’ont jamais été consultées(nouvelle fenêtre) quant à leur utilisation de cette manière (article en anglais).
Bien que les données utilisées aient été anonymisées avant d’être envoyées aux chercheurs (ce qui n’était pas précisé dans la première version de l’article), le fait qu’un service auquel vous faites confiance partage vos données avec des tiers sans votre accord, qu’elles soient anonymisées ou non, devrait vous laisser perplexe.
De surcroît, on pourrait arguer que les données anonymes ne sont pas totalement anonymes, étant donné qu’il existe des méthodes pour reconstruire l’identité d’une personne, même lorsque les noms sont retirés des dossiers numériques.
2022 : le retour de l’attaque de type phishing (hameçonnage)
Le dernier scandale Dropbox remonte à novembre 2022, lorsque, encore une fois, les identifiants d’un employé Dropbox ont été dérobés(nouvelle fenêtre) lors d’une attaque par phishing.
Cette fois-ci, les attaquants se sont fait passer pour GitHub, un site sur lequel les développeurs stockent leur code. Dans ce cas, les voleurs se sont enfuis avec des e-mails et des mots de passe appartenant à la fois aux employés et aux clients de Dropbox. Il convient également de noter que c’est GitHub lui-même qui a signalé l’attaque, pas Dropbox.
Dropbox a affirmé que les fichiers clients n’étaient jamais en danger. C’est une chance pour eux, mais ce n’est pas une grande consolation pour tous ceux dont l’adresse électronique a été utilisée par des cybercriminels.
Que pouvez-vous utiliser à la place de Dropbox ?
Comme le montre la chronologie ci-dessus, l’entreprise Dropbox pourrait faire beaucoup mieux que ce qu’elle fait et a fait. Bien que l’on ne soit pas au même niveau de problème que pour LastPass, elle a manqué à son devoir à plusieurs reprises. Souvent les incidents n’étaient pas signalés par Dropbox. Les violations étaient souvent causées par de mauvaises pratiques de sécurité.
Il est préoccupant que Dropbox n’ait pas de chiffrement de bout en bout. Lorsqu’un service de stockage cloud protège vos fichiers avec un chiffrement de bout en bout, cela signifie que vos données sont chiffrées sur votre appareil avant d’être envoyées dans le cloud. Toute violation ultérieure des serveurs cloud ne résulterait en aucune exposition de données. Nous abordons plus de détails dans notre article sur la sécurité de Dropbox.
C’est en gardant à l’esprit ces failles des fournisseurs de stockage cloud grand public que nous avons développé Proton Drive, une alternative sécurisée et chiffrée de bout en bout offrant une sécurité de pointe et une expérience utilisateur agréable. Même si nous voulions voir vos données (ce qui n’est pas le cas, notre business model consiste à protéger votre vie privée), il nous est tout simplement impossible d’y accéder.
Cette promesse de confidentialité est au cœur de Proton depuis notre création et grâce à nos soutiens, nous avons pu y parvenir sans nécessiter de financement extérieur. Notre seule obligation est donc envers vous, notre communauté.
Si un stockage cloud privé et sécurisé vous intéresse, rejoignez Proton Drive gratuitement.
