IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Deux chercheurs trouvent une faille de sécurité sur Dropbox
Permettant aux pirates d'accéder aux comptes des utilisateurs

Le , par Cedric Chevalier
10 commentaires

160PARTAGES

1  0 
Des chercheurs révèlent avoir cassé la sécurité de Dropbox.


DropBox est une plateforme de stockage de données dans le Cloud, qui compte plus de 100 millions d’utilisateurs.

Le langage de programmation utilisé pour le développement du client DropBox est Python. Dhiru Kholia et Przemyslaw Wegrzyn ont effectué des travaux de recherche sur la plateforme.

D’après leurs travaux, le mécanisme d’authentification à deux facteurs n’est pas utilisé par les clients DropBox pour s’authentifier aux serveurs en ligne. Pour eux, ce dernier ne servirait qu’à protéger le site web de DropBox des accès non autorisés.

En effet, pour qu’un client DropBox se connecte à un serveur, il envoie à celui-ci deux paramètres invariables, dont la seule connaissance permet à un hacker de s’introduire dans le compte de sa victime.

Le premier paramètre est obtenu lorsque l’utilisateur s’enregistre au service en ligne. Le serveur lui retourne un identifiant (appelé Host_id) associé à son compte en ligne, que son client DropBox crypte et stocke ensuite en local sur son disque dur. Cet identifiant ne change pas même après que l’utilisateur ait modifié son mot de passe.

Le second paramètre est aussi un identifiant invariable (Host_int), que le serveur envoie au client pendant son démarrage sur le périphérique de l’utilisateur. Ce second paramètre peut être obtenu à partir des techniques d’écoute du réseau (attaque de l’homme du milieu).

Comment ont-ils fait pour arriver à une telle maîtrise du fonctionnement du client DropBox ? Les chercheurs ont utilisé le «reverse engineering» pour déchiffrer le bytecode crypté du client DropBox.

L’équipe de développement de DropBox a été mise au courant de la vulnérabilité trouvée. Cependant, ce qui donne l’intérêt aux travaux des chercheurs est que l’ensemble des outils et méthodes qu’ils ont utilisés est librement accessible et ils sont génériques. Autrement dit, ils pourraient aussi fonctionner sur des applications similaires au client DropBox.

Télécharger les outils employés par les chercheurs

Source : Rapport PDF

Et vous ?

Qu'en pensez vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

10 commentaires
Commenter Signaler un problème
miky55
Avatar de miky55
Membre averti https://www.developpez.com
Le 31/08/2013 à 20:53
Citation Envoyé par Cedric Chevalier Voir le message

Qu'en pensez vous ?
Que le terme "faille" est abusif, pour compromettre un compte selon cette "faille" il faut un accès à une machine associée à un compte dropbox, c'est comme si on assimilait le fait qu'il soit possible de récupérer les mots de passe que stockent chrome et ie à une faille...
1  0 
imikado
Avatar de imikado
Rédacteur https://www.developpez.com
Le 31/08/2013 à 21:03
Même si ce n'est pas une faille à proprement dite, ça rappel le fait qu'il faut sensibiliser sur l'authentification et la sécurité sur nos données stockées sur le "cloud"

La double authentification, comme google le propose avec google authentificator est une première bonne solution.
1  0 
Linunix
Avatar de Linunix
Membre confirmé https://www.developpez.com
Le 31/08/2013 à 21:53
Citation Envoyé par imikado Voir le message
Même si ce n'est pas une faille à proprement dite, ça rappel le fait qu'il faut sensibiliser sur l'authentification et la sécurité sur nos données stockées sur le "cloud"

La double authentification, comme google le propose avec google authentificator est une première bonne solution.
Totalement, d'accord, j'espere d'ailleurs que cette solution sera utilisé.
1  0 
potsky
Avatar de potsky
Candidat au Club https://www.developpez.com
Le 31/08/2013 à 22:13
Une sur couche comme BoxCryptor par exemple dans Dropbox est indispensable de mon point de vue. Je regrette aujourd'hui que cette fonctionnalité ne soit pas intégrée de base dans Dropbox.

Une personne qui arriverait à cracker mon compte Dropbox aurait accès aujourd'hui à des fichiers cryptés en AES. Il ne serait guère plus avancé. Sauf pour les données des applications qui sont enregistrées en clair dans le répertoire Apps... Seul Dropbox pourrait fournir une solution pour crypter ces données.
0  0 
transgohan
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 31/08/2013 à 23:48
Euh... J'ai l'impression d'avoir rêvé du futur...
Pourquoi ? Parce que j'ai déjà lu cette information il y a de celà plusieurs mois !
0  0 
miky55
Avatar de miky55
Membre averti https://www.developpez.com
Le 01/09/2013 à 0:51
Citation Envoyé par imikado Voir le message
Même si ce n'est pas une faille à proprement dite, ça rappel le fait qu'il faut sensibiliser sur l'authentification et la sécurité sur nos données stockées sur le "cloud"

La double authentification, comme google le propose avec google authentificator est une première bonne solution.
La double authentification existe déjà sur dropbox mais uniquement sur le site ou lorsque un nouvel appareil est associé au compte. L'activation permanente au niveau du client serai pas mal contraignant pour l'utilisateur...

De toute façon pour une sécurité optimale il est préférable de crypter toutes donnée sensible susceptible de transiter sur le cloud...
0  0 
RaphAstronome
Avatar de RaphAstronome
Membre actif https://www.developpez.com
Le 02/09/2013 à 15:57
Je regrette aujourd'hui que cette fonctionnalité ne soit pas intégrée de base dans Dropbox.
Le problème c'est que si le chiffrement est intégré officiellement soit ils stockent la clé donc pas vraiment d’intérêt, soit il faut faire confiance à leur logiciel pour ne pas avoir de backdoor ou faille permettant de l'obtenir frauduleusement.

Si il y a aussi le partage entre plusieurs équipements (un peu le but de dropbox) où il faudrait du coup ce trimbaler la clé de manière sécurisée entre les différant équipements.

D'ailleurs je crois qu'ils utilisent effectivement un chiffrement du stockage de leur coté mais vu qu'ils conservent la clé ...

https://www.dropbox.com/help/27/fr
0  0 
gangsoleil
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 03/09/2013 à 9:59
Citation Envoyé par RaphAstronome Voir le message
D'ailleurs je crois qu'ils utilisent effectivement un chiffrement du stockage de leur coté mais vu qu'ils conservent la clé
Il y a du chiffrage, mais ils dechiffrent le contenu pour pouvoir le comparer, et ainsi ne garder qu'une unique copie pour tous les comptes (et donc economiser de la place disque).
0  0 
frantzgac
Avatar de frantzgac
Membre actif https://www.developpez.com
Le 06/09/2013 à 12:44
Mon avis est que quelque soit le système de sécurité, celui qui ne veut pas que ses documents soient profanés ne doit pas les mettre sur le cloud. Si vraiment on veut une sécurité quasi totale en dehors des attaques physiques il faut stocker ses fichiers sur un support non connecté.

Maintenant quoique un peu lourde une autre précaution consiste à stocker sur le cloud non pas ses documents mais un disque virtuel TrueCrypt qui les contient. Le système de chiffrement n'est sans doute pas parfait (au boulot les chercheurs !) mais il crée un obstacle supplémentaire.

Cela dit chapeau aux chercheurs. Ils sont payés par qui pour faire ces jolies découvertes au fait ?
0  0 
Mishulyna
Avatar de Mishulyna
Traductrice https://www.developpez.com
Le 06/09/2013 à 17:28
Citation Envoyé par frantzgac Voir le message
Mon avis est que quelque soit le système de sécurité, celui qui ne veut pas que ses documents soient profanés ne doit pas les mettre sur le cloud. Si vraiment on veut une sécurité quasi totale en dehors des attaques physiques il faut stocker ses fichiers sur un support non connecté.
Zut, c'est que je craignais: faut que je me ballade avec mon disque dur externe... Et si jamais celui-ci tombe en panne?

Quelqu'un saurait me dire si LogMeIn est une solution plus fiable? Merci!
0  0 
Commenter Signaler un problème