Dropbox vient d'annoncer que plusieurs identifiants et mots de passe dérobés sur d'autres sites (sans plus de précisions) avaient été utilisés pour se connecter à « un petit nombre de comptes Dropbox ». L'un d'entre eux appartenait à un employé de la société qui y avait stocké un document contenant plusieurs adresses mails d'utilisateurs. Suite à cela, l'hébergeur a précisé que quelques changements allaient être apportés afin de renforcer la sécurité de son site.

Parmi les comptes qui ont été compromis, il y en avait donc un qui appartenait à un employé et sur lequel il avait stocké un document contenant plusieurs adresses mails d'utilisateurs (Dropbox n'en précise par contre pas le nombre). Elles se sont donc retrouvées dans la nature et elles ont visiblement été exploitées afin d'envoyer du spam à leur propriétaire. C'est d'ailleurs le retour de ces derniers qui a alerté Dropbox qui ne s'était apparemment rendu compte de rien.

Suite à cette histoire, la société annonce que plusieurs mesures ont été prises afin de renforcer la sécurité. Pour cela, un nouvel onglet « Sécurité » à été mis en place sur le site : il regroupe l'ensemble des ordinateurs, des smartphones, des tablettes et des navigateurs qui ont une session ouverte sur votre compte. Les informations sont détaillées puisque nous pouvons consulter l'adresse IP de la machine, la version du client utilisé ainsi que la date et l'heure d'ouverture de la session.

De plus, l'hébergeur précise avoir mis en place des vérifications internes afin de tenter de détecter une activité suspecte à l'avenir, une fonctionnalité qui sera améliorée au fil du temps. Notez enfin qu'un système double identification sera mise en place, de manière optionnelle, dans les semaines qui viennent. En plus de votre mot de passe, elle vous demandera, par exemple, un code temporaire qui sera automatiquement envoyé sur votre mobile.

Quoi qu'il en soit, cette mésaventure nous rappelle, encore une fois, qu'il est important d'avoir un mot de passe unique par site, ce qui permet de limiter ce genre de désagréments. En effet, une faille sur l'un d'entre eux n'expose pas le reste de vos données. Nul doute que l'employé de Dropbox dont le compte a été piraté va appliquer cette règle à la lettre... peut-être un peu trop tard dans son cas.