La violation de Dropbox Sign expose des e-mails, des mots de passe hachés et des données MFA

Ce qui s'est passé lors de la violation de Dropbox Sign

Dropbox a divulgué un incident de sécurité majeur affectant son service Dropbox Sign, une plateforme de signature électronique utilisée par des particuliers et des entreprises pour envoyer et signer des documents légalement en ligne. Un acteur malveillant a obtenu un accès non autorisé à l'environnement de production de la plateforme — l'infrastructure en direct qui traite les données réelles des utilisateurs — et en est reparti avec un large éventail d'informations sensibles.

Les données exposées comprennent des adresses e-mail, des numéros de téléphone, des mots de passe hachés et des informations relatives à l'authentification multifacteur (MFA). Cette dernière catégorie est particulièrement notable. L'exposition des paramètres MFA et des jetons d'appareils signifie que les attaquants peuvent disposer de plus que votre seul mot de passe. Dropbox a commencé à notifier les utilisateurs concernés et les exhorte à réinitialiser immédiatement leurs identifiants.

L'enquête est en cours, et l'étendue complète de la violation n'a pas encore été confirmée publiquement.

Pourquoi l'exposition des données MFA rend cette violation plus grave

La plupart des violations de données suivent un schéma familier : l'e-mail et le mot de passe haché sont exposés, l'attaquant tente de casser le hachage ou d'utiliser les identifiants sur d'autres services, et des comptes tombent. Cette violation va un cran plus loin.

Lorsque les données de configuration MFA sont compromises, les attaquants obtiennent potentiellement un aperçu de la façon dont le second facteur d'une victime est configuré. Selon ce qui a été stocké et de quelle manière, cela pourrait faciliter le contournement ou la manipulation sociale de cette deuxième couche de protection. Cela signifie également que se contenter de changer votre mot de passe peut ne pas suffire. Si votre application d'authentification est liée à un jeton d'appareil qui a été exposé, la chaîne de sécurité présente un maillon faible qui doit être entièrement remplacé.

Les mots de passe hachés, bien qu'ils ne soient pas immédiatement lisibles, ne sont pas nécessairement en sécurité non plus. Les mots de passe faibles ou réutilisés peuvent être craqués à l'aide d'attaques par dictionnaire ou de tables arc-en-ciel. Si votre mot de passe Dropbox Sign était court, courant ou partagé avec un autre service, il doit être considéré comme compromis dès maintenant.

Ce que cela signifie pour vous

Si vous possédez un compte Dropbox Sign, l'hypothèse la plus prudente est que votre adresse e-mail et votre hachage de mot de passe se trouvent entre les mains de quelqu'un qui ne devrait pas les avoir. Voici ce que vous devriez faire :

Réinitialisez immédiatement votre mot de passe Dropbox Sign. Utilisez un mot de passe fort et unique que vous n'avez utilisé nulle part ailleurs. Un gestionnaire de mots de passe simplifie cette démarche et élimine la tentation de réutiliser des identifiants.

Réinscrivez-vous à la MFA. Ne laissez pas simplement votre configuration MFA existante en place. Étant donné que les données de configuration MFA faisaient partie de la violation, la mesure prudente consiste à désactiver votre configuration MFA actuelle, puis à la reconfigurer depuis le début. Si vous utilisez l'authentification à deux facteurs par SMS, envisagez de passer à une application d'authentification, qui est généralement plus résistante aux interceptions.

Vérifiez la réutilisation des identifiants. Si le même mot de passe que vous avez utilisé pour Dropbox Sign apparaît ailleurs, changez-le également sur ces services. Le bourrage d'identifiants — où les attaquants prennent un ensemble d'identifiants compromis et l'essaient sur des dizaines d'autres plateformes — est l'une des attaques de suivi les plus courantes et les plus efficaces après une violation de ce type.

Surveillez l'activité inhabituelle sur vos comptes. Soyez attentif aux e-mails de réinitialisation de mot de passe que vous n'avez pas demandés, aux notifications de connexion inconnues ou à toute activité de compte qui semble déplacée. Cela est particulièrement important pour les comptes de messagerie, qui peuvent servir de passerelle pour réinitialiser les mots de passe de tous vos autres services.

Utilisez un VPN sur les réseaux non fiables. Lorsque vous réinitialisez des identifiants ou que vous vous reconnectez à des services, le faire via une connexion de confiance et chiffrée réduit le risque que vos nouveaux identifiants soient interceptés. Le Wi-Fi public et les réseaux partagés ne sont pas l'endroit approprié pour gérer la récupération de compte.

La défense en profondeur n'est pas facultative

La violation de Dropbox Sign rappelle qu'aucune mesure de sécurité unique n'est suffisante en elle-même. Les mots de passe hachés sont préférables aux mots de passe en clair, mais ils ne sont pas incassables. La MFA est préférable à un mot de passe seul, mais elle n'est pas impénétrable lorsque les données de configuration elles-mêmes sont exposées. L'objectif de la défense en profondeur est de s'assurer que lorsqu'une couche échoue, les autres tiennent toujours.

Pour les utilisateurs ordinaires, cela signifie combiner des mots de passe forts et uniques, une MFA robuste, des habitudes réseau prudentes et une surveillance régulière en une routine plutôt qu'en une réaction. Les violations continueront de se produire. Les organisations à qui vous confiez vos données échoueront parfois à les protéger. Ce que vous pouvez contrôler, c'est l'ampleur des dégâts qu'un seul compte compromis peut causer avant que vous ne le détectiez.

Commencez par les bases : changez les mots de passe concernés, renouvelez votre inscription à la MFA et faites le point sur les autres endroits où vous avez peut-être réutilisé les mêmes identifiants. Ces trois étapes vous permettront de vous prémunir contre la majeure partie des risques créés par cette violation.