C’est un coup dur pour la solution cloud de stockage en ligne Dropbox. Hier, l’entreprise a connu un bug sans précédant permettant à n’importe quel utilisateur de se connecter avec le login d’un autre utilisateur pour avoir accès à ce compte sans avoir à rentrer de mot de passe. Moche quand même ! Cela ne devrait pas arranger la côte du service qui en a déjà pris un coup lorsqu’il a annoncé vouloir laisser libre accès aux documents en cas de décision de justice.

En effet, c’est durant 4H que les comptes dropbox touchés étaient accessibles à n’importe qui sous peine qu’il connaisse le nom d’utilisateur de la personne à piéger. D’après les dires de l’entreprise, seul 1 % des utilisateurs aurait été touché par ce bug qui a été corrigé dans les 5 minutes qui ont suivi la découverte…

Dropbox a pris cela au sérieux et a contacté rapidement les utilisateurs touchés en leur demandant de vérifier l’activité de leur compte durant ces 4 heures. Il leur a fournis par email, la liste des modifications enregistrées durant ce bug pour qu’ils vérifient et remonte tout souci à Dropbox. Je trouve l’intervention et la réaction de l’entreprise réactif et plutôt professionnel.

Mais les faits sont là, les comptes sont restés bien trop longtemps ouverts et on peut donc se poser quelques questions sur le sérieux de l’entreprise… Plus généralement, il est difficile de faire totalement confiance à des services en ligne qui peuvent toujours potentiellement avoir une faille de sécurité. On est jamais mieux servi que par soi même et ce dicton s’applique aussi ici.

Avoir la copie originale chiffrée localement sera toujours plus sûr que sur un service distant qui peut connaître un piratage important (comme ça a été le cas avec Sony et son PSN le mois dernier).

Source : Blog Dropbox