Deux chercheurs ont pu accéder aux comptes d’utilisateurs de Dropbox via une analyse à rebours du client Dropbox.
Dans leur article ‘Looking inside the (Drop)box’, Dhiru Kholia (e.a. Université de la Colombie britannique au Canada) et Przemyslaw Weggrzyn (Codepainters) décrivent comment ils ont analysé le code Python de toute une série de clients Dropbox (tant sous Windows, Macos X que Linux) malgré les tentatives de Dropbox de rendre ce code ‘illisible’. De ce fait, ils ont eu accès à l’API de Dropbox et ainsi aux données des utilisateurs. En effet, l’authentification à deux facteurs de Dropbox, qui a été introduite au terme de précédentes péripéties, n’est pas d’application dans l’API.
Dropbox a réagi en faisant observer qu’elle appréciait les contributions de ces chercheurs, mais que leur travail ne portait sur aucune vulnérabilité dans Dropbox. En effet, “dans le procédé décrit, l’appareil de l’utilisateur doit être piraté de telle manière que l’ensemble du système – et donc pas seulement le Dropbox de l’utilisateur – soit exposé aux attaques”. Une remarque qui a été confirmée par les chercheurs, mais une telle situation dans le système de l’utilisateur final n’est pas non plus exceptionnelle.
Problème Python
Le piratage de la manière dont Dropbox sécurise son code écrit en Python, risque probablement de causer d’autres problèmes. Les méthodes décrites sont, selon les chercheurs, en effet aussi utilisables sur tout autre code Python ‘voilé’ (obfuscated). Elles invitent du reste Dropbox à créer une version open source du client Dropbox.
Aux Etats-Unis, l’on a également froncé les sourcils, parce que les pratiques d’ingénierie à rebours (‘reverse engineering’) des chercheurs enfreignent même le ‘Digital Millennium Copyright Act’ (DMCA) américain.
Terminons par un conseil valant pour tous les fichiers et données importants (par définition donc des documents d’entreprise) confiés à une entreprise de stockage basé web:
Les ‘data in transit’ (pendant le transport) et les ‘data at rest’ (stockées) doivent être cryptées à l’aide de clés reposant uniquement entre les mains d’utilisateurs de confiance. En effet, même si Dropbox et d’autres fournisseurs de services similaires affirment crypter eux-mêmes les fichiers, des collaborateurs mal intentionnés peuvent encore et toujours y avoir accès en abusant des clés.
