Mauvaise nouvelle du côté du spécialiste de l’hébergement de fichiers en ligne Dropbox. L’entreprise californienne vient en effet de signaler sur son blog le piratage de sa plateforme de signature électronique, Dropbox Sign, une communication reprise dans un texte séparé à destination du gendarme de la bourse américaine.
Ce service, auparavant dénommé HelloSign, avait rejoint la galaxie Dropbox en janvier 2019 après une acquisition à 230 millions de dollars. Le 24 avril, les experts en sécurité de Dropbox ont découvert que cette plateforme avait été piratée.
Le ou les pirates auraient fait une très large moisson d’informations sensibles. L’entreprise, qui compte 700 millions d’utilisateurs, est une cible potentiellement juteuse. Ses services sont justement censés permettre l’échange sécurisé de documents. Sa plateforme de signature électronique doit permettre elle d’authentifier l’accord de tiers. Une promesse sévèrement malmenée en cas de piratage.
Compte de service compromis
Comme l’explique Dropbox, l’attaquant a pu accéder à de nombreuses informations sur les clients de la société. Les emails, les noms d’utilisateur, les numéros de téléphones et les mots de passe hachés – et donc pas accessibles directement en clair – ont ainsi été compromis. Mais l’intrus a également pu mettre la main sur des clés API et des jetons d’authentification à plusieurs facteurs.
Selon l’enquête de Dropbox, l’attaquant aurait réussi à compromettre un compte de service automatisé du service de signature électronique. Un compte avec de nombreux privilèges qui a permis ensuite au pirate d’accéder à la base de données des clients.
Après avoir découvert le hack, l’entreprise a réinitialisé tous les mots de passe des utilisateurs de sa plateforme de signature électronique et déconnecté tous les appareils connectés. Dropbox indique également avoir signalé l’incident et assure vouloir en tirer désormais toutes les leçons.
Visée en novembre 2022
L’entreprise estime toutefois que ce piratage d’ampleur reste limité à Dropbox Sign, sans impact sur ses autres produits. Elle recommande cependant, dans le cas de l’utilisation du mot de passe compromis sur d’autres services, de changer ces derniers et de mettre en place une authentification à plusieurs facteurs.
Soit une façon d’éviter une attaque – classique – par bourrage d’identifiants.
Ce piratage n’est pas la première déconvenue de l’entreprise. En novembre 2022, Dropxbox avait notamment été ciblé par une campagne d’hameçonnage. Un pirate avait réussi à accéder aux comptes GitHub de l’entreprise. Il avait alors mis la main sur des bouts de code informatique à travers 130 référentiels, des prototypes internes, des copies de bibliothèques tierces et des fichiers de configuration.