Dropbox recadre la sécurité

Après une récente fuite d’adresses e-mail, Dropbox a pris des mesures sécuritaires complémentaires, telles l’authentification à deux facteurs.

Après une récente fuite d’adresses e-mail, Dropbox a pris des mesures sécuritaires complémentaires, telles l’authentification à deux facteurs.

Les utilisateurs du service de stockage dans le nuage Dropbox se sont plaints ces dernières semaines de recevoir du spammail (pourriel) à des adresses exclusivement utilisées pour les services Dropbox. Le problème touchait tout particulièrement des utilisateurs allemands, britanniques et néerlandais. Après quelques bévues sécuritaires antérieures (comme un incident qui eut lieu l’année dernière, lorsque tous les comptes Dropbox furent accessibles sans mot de passe pendant 4 heures), l’entreprise s’est à présent intéressée de très près à la recherche des causes possibles des problèmes. Selon Dropbox, des données des utilisateurs ont été volées sur des sites web de tiers, après quoi et au moyen de ces informations le compte d’un collaborateur de Dropbox a été piraté (et l’on y a dérobé un document contenant diverses données d’utilisateurs).

L’entreprise va désormais offrir l’authentification à deux facteurs (mi-août selon le planning), ainsi que des moyens de détection d’activités suspectes. C’est ainsi qu’est prévue une page sur laquelle tous les logins actifs (ouvertures de session) sur un compte seront affichés. En outre, Dropbox affirme qu’elle a pris contact avec toutes les victimes et qu’elle prendra aussi contact avec les utilisateurs dont les mots de passe sont trop communs (ou trop anciens). L’entreprise conseille également d’utiliser un mot de passe différent pour chaque site web qui en exige un et éventuellement de faire appel à un gestionnaire de mots de passe.

Même si Dropbox a réagi assez bien à cette situation spécifique, l’entreprise semble à présent porter l’étiquette de ‘problématique au niveau de la sécurité’ dans le nuage. C’est ainsi que des responsables de la sécurité citent manifestement souvent les péripéties de Dropbox, lorsqu’il est question de sécurité et de nuage dans des entreprises et ce, malgré le fait que Dropbox mette l’accent sur les consommateurs (et pas sur les entreprises). A propos du nuage, l’on prétend qu’il favorise tout autant qu’il menace la sécurité. Or ces deux points de vue ont très certainement un fond de vérité. Il est clair aussi que les entreprises doivent aspirer à une approche globale intégrée de la sécurité, dans l’optique tant de leur propre protection que de celle des fournisseurs ‘cloud’. Cela concerne tant une sécurité suffisante où et quand cela s’avère nécessaire que l’aspiration à se conformer complètement aux obligations légales ou réglementaires (‘compliance’). Des organisations comme la Cloud Security Alliance offrent à ce propos pas mal de matériel intéressant.