Deux chercheurs trouvent une faille de sécurité sur Dropbox
permettant aux pirates d’accéder aux comptes des utilisateurs
Des chercheurs révèlent avoir cassé la sécurité de Dropbox.
DropBox est une plateforme de stockage de données dans le Cloud, qui compte plus de 100 millions d’utilisateurs.
Le langage de programmation utilisé pour le développement du client DropBox est Python. Dhiru Kholia et Przemyslaw Wegrzyn ont effectué des travaux de recherche sur la plateforme.
D’après leurs travaux, le mécanisme d’authentification à deux facteurs n’est pas utilisé par les clients DropBox pour s’authentifier aux serveurs en ligne. Pour eux, ce dernier ne servirait qu’à protéger le site web de DropBox des accès non autorisés.
En effet, pour qu’un client DropBox se connecte à un serveur, il envoie à celui-ci deux paramètres invariables, dont la seule connaissance permet à un hacker de s’introduire dans le compte de sa victime.
Le premier paramètre est obtenu lorsque l’utilisateur s’enregistre au service en ligne. Le serveur lui retourne un identifiant (appelé Host_id) associé à son compte en ligne, que son client DropBox crypte et stocke ensuite en local sur son disque dur. Cet identifiant ne change pas même après que l’utilisateur ait modifié son mot de passe.
Le second paramètre est aussi un identifiant invariable (Host_int), que le serveur envoie au client pendant son démarrage sur le périphérique de l’utilisateur. Ce second paramètre peut être obtenu à partir des techniques d’écoute du réseau (attaque de l’homme du milieu).
Comment ont-ils fait pour arriver à une telle maîtrise du fonctionnement du client DropBox ? Les chercheurs ont utilisé le «reverse engineering» pour déchiffrer le bytecode crypté du client DropBox.
L’équipe de développement de DropBox a été mise au courant de la vulnérabilité trouvée. Cependant, ce qui donne l’intérêt aux travaux des chercheurs est que l’ensemble des outils et méthodes qu’ils ont utilisés est librement accessible et ils sont génériques. Autrement dit, ils pourraient aussi fonctionner sur des applications similaires au client DropBox.
Télécharger les outils employés par les chercheurs
Source : Rapport PDF
Et vous ?
Qu'en pensez vous ?
Partager