Une mauvaise nouvelle vient de tomber du côté de Dropbox, le spécialiste de l’hébergement de fichiers en ligne. L’entreprise californienne a annoncé sur son blog le piratage de sa plateforme de signature électronique, Dropbox Sign. Cette attaque a été découverte le 24 avril par les experts en sécurité de Dropbox, et les conséquences sont potentiellement dévastatrices.

Une plateforme de signature électronique compromise

Dropbox Sign, anciennement connu sous le nom de HelloSign, avait rejoint l’écosystème de Dropbox en janvier 2019 suite à son acquisition pour 230 millions de dollars. Malheureusement, il a été révélé que cette plateforme avait donc été hackée.

Les pirates informatiques ont réussi à collecter un grand nombre d’informations sensibles. Avec ses 700 millions d’utilisateurs, Dropbox est une cible de choix. Ses services sont censés garantir l’échange sécurisé de documents et sa plateforme de signature électronique permet d’authentifier les accords avec des tiers, promesse sévèrement compromise par cette attaque.

Un accès à des informations sensibles

Selon Dropbox, les attaquants ont pu accéder à de nombreuses informations sur les clients de l’entreprise. Les adresses e-mail, les noms d’utilisateur, les numéros de téléphone et les mots de passe hachés ont été compromis. De plus, les pirates ont réussi à obtenir des clés API et des jetons d’authentification à plusieurs facteurs.

L’enquête de Dropbox révèle que les attaquants sont parvenus à compromettre un compte de service automatisé de la plateforme de signature électronique. Ce compte, doté de nombreux privilèges, leur a permis d’accéder à la base de données des clients.

Réponse immédiate de Dropbox

Dès la découverte de cette attaque, Dropbox a réinitialisé tous les mots de passe des utilisateurs de sa plateforme de signature électronique et a déconnecté tous les appareils connectés. L’entreprise a également signalé l’incident et s’engage à en tirer les leçons nécessaires.

Dropbox assure que ce piratage n’affecte pas ses autres produits, mais recommande tout de même aux utilisateurs de changer leur mot de passe s’ils l’utilisent également sur d’autres services et de mettre en place une authentification à plusieurs facteurs pour une meilleure sécurité.

Un historique inquiétant

Ce piratage n’est malheureusement pas la première mésaventure de l’entreprise. En novembre 2022, Dropbox avait été victime d’une campagne de phishing. Un pirate avait réussi à accéder aux comptes GitHub de l’entreprise, récupérant ainsi des morceaux de code informatique, des prototypes internes et des fichiers de configuration.

Face à ces incidents, Dropbox devra redoubler d’efforts pour renforcer la sécurité de ses services et regagner la confiance des utilisateurs. La protection des données sensibles est plus que jamais au cœur des préoccupations, et les entreprises doivent prendre toutes les mesures nécessaires pour prévenir de telles attaques.