Un mail en cours de distribution informe les utilisateurs de Dropbox qu’ils seront invités lors de leur prochaine connexion à changer leur mot de passe. La « mesure préventive », également annoncée sur le blog du service, s’adresse aux utilisateurs n’ayant pas modifié leur sésame depuis mi-2012.
Les raisons de la mesure
Dropbox est entré en possession d’un fichier listant des données d’authentification (adresses de courrier électronique et mots de passe hachés et salés) de certains de ses utilisateurs. Selon le service, elles auraient été dérobées à d’autres sites web en 2012. Un des identifiants volés avait alors été utilisé pour accéder au compte d’un employé de la firme et causé la fuite d’un document contenant les adresses mail de nombreux utilisateurs.
Chacun des utilisateurs de Dropbox présent sur cette liste recevra donc le mail d’information l’invitant à modifier son mot de passe.
Dropbox affirme ne pas avoir décelé de trace de connexion non autorisée aux comptes présents sur cette liste et considère cette mesure comme une simple précaution. On ne peut que saluer la décision, même si elle semble bien tardive et ne répond pas à toutes les questions.
Comment en effet expliquer, si les deux affaires sont liées, que le fichier que vient de découvrir Dropbox contienne des mots de passe hachés et salés alors qu’ils avaient permis en 2012 l’accès au compte d’un de leurs employés ?
Mieux vaut malgré tout prévenir que guérir et suivre les consignes du service en changeant votre mot de passe.
Ce que vous devez faire
Si vous faites partie des utilisateurs concernés, Dropbox a déjà réinitialisé votre mot de passe. Lors de votre prochaine connexion au service, il vous sera automatiquement demandé d’en choisir un nouveau.
Si le service ne vous l’impose pas, c’est que vous ne faites pas partie de la liste découverte pas Dropbox. Rien ne vous empêche cependant de profiter de l’annonce pour modifier un mot de passe un peu trop ancien en respectant les règles de base :
- n’utilisez pas un sésame trop court ou trop facile à deviner comme le nom de votre chien ou votre date de naissance;
- utilisez un mot de passe différent pour chaque service afin de ne pas compromettre tous vos comptes quand un service subit une attaque;
- changez-en régulièrement.
Et si vous ne l’avez pas encore fait, pensez à activer la validation en deux étapes qui apporte un niveau de sécurité supplémentaire.
Si vous avez aimé cet article, n'hésitez pas à vous abonner au site. Vous pouvez aussi me retrouver sur Twitter ou Facebook pour d'autres infos.