Techonologie

La plateforme de signature électronique de Dropbox touchée par une cyberattaque

salwa

Des hackers ont infiltré fin avril la plateforme de signature électronique Sign de Dropbox. La société de stockage et de partage de fichiers confirme que des données personnelles de clients et des mots de passe hachés ont été dérobés, de même que des données d’authentification. Elle affirme avoir réinitialisé les mots de passe de tous les utilisateurs et déconnecté l’intégralité des sessions.

La société américaine de stockage cloud et de partage de fichiers en ligne Dropbox a annoncé, le 1er mai, avoir été victime d’une cyberattaque quelques jours plus tôt. L’intrusion malveillante concerne sa plateforme de signature électronique sécurisée de documents, Dropbox Sign. Anciennement appelée HelloSign, la plateforme avait été rachetée en 2019 pour 230 millions de dollars.

De nombreuses informations d’authentification dérobées

“Le 24 avril, nous avons eu connaissance d’un accès non autorisé à l’environnement de production Dropbox Sign, explique la société dans un communiqué. Après une enquête plus approfondie, nous avons découvert qu’un acteur malveillant avait accédé aux données client de Dropbox Sign.” Les données personnelles dérobées comprennent des e-mails, des noms d’utilisateur, des numéros de téléphone et des mots de passe hachés (qui n’apparaissent pas en clair, mais sous forme d’empreinte numérique).

En outre, les pirates informatiques ont eu accès à certaines informations d’authentification, comme des clés API, des jetons d’accès OAuth, et des clés d’authentification multifacteur (MFA). Une intrusion potentiellement grave, la plateforme Dropbox Sign permettant d’authentifier des utilisateurs tiers pour la signature de documents. Les noms et e-mails des internautes ayant reçu ou signé un document via Dropbox Sign sans avoir créé de compte sont également exposés.

Les hackers compromettent un compte de service

Dropbox, qui compte 700 millions d’utilisateurs, explique qu’un tiers a eu accès à un compte de service automatisé de son système de signature. Cette infiltration lui a permis de se voir octroyer des privilèges d’accès élevés et un accès direct à la base de données clients. “D’un point de vue technique, l’infrastructure de Dropbox Sign est distincte des autres services Dropbox”, affirme la société, qui “pense” que cet incident reste limité au service de signature électronique.

La firme californienne assure ne pas avoir eu connaissance d’accès non autorisé aux documents et contrats des clients sur la plateforme de signature. En conséquence, elle a réinitialisé les mots de passe des utilisateurs, déconnecté l’ensemble des sessions encore actives et restreint l’utilisation des clés API, jusqu’à ce que ces dernières soient remplacées par le client. Tous les utilisateurs concernés ont été informés par mail ou le seront d’ici une semaine.

Dropbox ciblée par une campagne de phishing en 2022

En novembre 2022, Dropbox avait déjà été ciblée par une campagne de phishing. Les cybercriminels avaient alors accédé aux comptes GitHub de l’entreprise et aux informations d’identification des employés, pour s’emparer de 130 référentiels de code. Six ans plus tôt, elle avait révélé la fuite de plus de 68 millions d’identifiants utilisateur, lors d’une attaque ayant eu lieu en 2012.

L’annonce de cette cyberattaque intervient quelques jours après le déploiement, par Dropbox, de nouvelles fonctionnalités de sécurité. Parmi elles, l’instauration du chiffrement de bout en bout, plus sécurisé que le chiffrement AES (Advanced Encryption Standard) 256 bits déjà proposé. Les utilisateurs peuvent aussi configurer une clé de chiffrement unique, à travers un service de gestion avancé des clés.

Source : usine-digitale.fr

Vous pourrez aussi aimer

Rétro 2022 : Encadrer l’intelligence artificielle pour éviter les nœuds au cerveau

salwa

Des robots-scientifiques pourraient bouleverser la science et décrocher un prix Nobel

salwa

Apple va-t-il encore bouder longtemps les IA ?

salwa