IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Deux chercheurs trouvent une faille de sécurité sur DropBox


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    mars 2013
    Messages
    426
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Enseignement

    Informations forums :
    Inscription : mars 2013
    Messages : 426
    Points : 32 558
    Points
    32 558
    Par défaut Deux chercheurs trouvent une faille de sécurité sur DropBox
    Deux chercheurs trouvent une faille de sécurité sur Dropbox
    permettant aux pirates d’accéder aux comptes des utilisateurs

    Des chercheurs révèlent avoir cassé la sécurité de Dropbox.


    DropBox est une plateforme de stockage de données dans le Cloud, qui compte plus de 100 millions d’utilisateurs.

    Le langage de programmation utilisé pour le développement du client DropBox est Python. Dhiru Kholia et Przemyslaw Wegrzyn ont effectué des travaux de recherche sur la plateforme.

    D’après leurs travaux, le mécanisme d’authentification à deux facteurs n’est pas utilisé par les clients DropBox pour s’authentifier aux serveurs en ligne. Pour eux, ce dernier ne servirait qu’à protéger le site web de DropBox des accès non autorisés.

    En effet, pour qu’un client DropBox se connecte à un serveur, il envoie à celui-ci deux paramètres invariables, dont la seule connaissance permet à un hacker de s’introduire dans le compte de sa victime.

    Le premier paramètre est obtenu lorsque l’utilisateur s’enregistre au service en ligne. Le serveur lui retourne un identifiant (appelé Host_id) associé à son compte en ligne, que son client DropBox crypte et stocke ensuite en local sur son disque dur. Cet identifiant ne change pas même après que l’utilisateur ait modifié son mot de passe.

    Le second paramètre est aussi un identifiant invariable (Host_int), que le serveur envoie au client pendant son démarrage sur le périphérique de l’utilisateur. Ce second paramètre peut être obtenu à partir des techniques d’écoute du réseau (attaque de l’homme du milieu).

    Comment ont-ils fait pour arriver à une telle maîtrise du fonctionnement du client DropBox ? Les chercheurs ont utilisé le «reverse engineering» pour déchiffrer le bytecode crypté du client DropBox.

    L’équipe de développement de DropBox a été mise au courant de la vulnérabilité trouvée. Cependant, ce qui donne l’intérêt aux travaux des chercheurs est que l’ensemble des outils et méthodes qu’ils ont utilisés est librement accessible et ils sont génériques. Autrement dit, ils pourraient aussi fonctionner sur des applications similaires au client DropBox.


    Télécharger les outils employés par les chercheurs

    Source : Rapport PDF

    Et vous ?

    Qu'en pensez vous ?

  2. #2
    Membre averti
    Profil pro
    Inscrit en
    octobre 2010
    Messages
    183
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2010
    Messages : 183
    Points : 409
    Points
    409
    Par défaut
    Citation Envoyé par Cedric Chevalier Voir le message
    Qu'en pensez vous ?
    Que le terme "faille" est abusif, pour compromettre un compte selon cette "faille" il faut un accès à une machine associée à un compte dropbox, c'est comme si on assimilait le fait qu'il soit possible de récupérer les mots de passe que stockent chrome et ie à une faille...

  3. #3
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    décembre 2006
    Messages
    5 235
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : décembre 2006
    Messages : 5 235
    Points : 19 560
    Points
    19 560
    Billets dans le blog
    17
    Par défaut
    Même si ce n'est pas une faille à proprement dite, ça rappel le fait qu'il faut sensibiliser sur l'authentification et la sécurité sur nos données stockées sur le "cloud"

    La double authentification, comme google le propose avec google authentificator est une première bonne solution.
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  4. #4
    Membre confirmé

    Homme Profil pro
    Etudiant
    Inscrit en
    juillet 2012
    Messages
    108
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Etudiant
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : juillet 2012
    Messages : 108
    Points : 573
    Points
    573
    Par défaut
    Citation Envoyé par imikado Voir le message
    Même si ce n'est pas une faille à proprement dite, ça rappel le fait qu'il faut sensibiliser sur l'authentification et la sécurité sur nos données stockées sur le "cloud"

    La double authentification, comme google le propose avec google authentificator est une première bonne solution.
    Totalement, d'accord, j'espere d'ailleurs que cette solution sera utilisé.
    Le paradigme de chacun ne dépend pas de lui, mais de son éducation...

    Le mot donne à la pensée son existence la plus haute et la plus noble.
    Spinoza

    Quiconque n'est pas choqué par la théorie quantique ne la comprend pas.
    Niels Bohr

    http://isocpp.org/

  5. #5
    Candidat au Club
    Profil pro
    Inscrit en
    novembre 2007
    Messages
    2
    Détails du profil
    Informations personnelles :
    Âge : 43
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : novembre 2007
    Messages : 2
    Points : 2
    Points
    2
    Par défaut Je pars du principe que la sécurité de ma Dropbox est faible.
    Une sur couche comme BoxCryptor par exemple dans Dropbox est indispensable de mon point de vue. Je regrette aujourd'hui que cette fonctionnalité ne soit pas intégrée de base dans Dropbox.

    Une personne qui arriverait à cracker mon compte Dropbox aurait accès aujourd'hui à des fichiers cryptés en AES. Il ne serait guère plus avancé. Sauf pour les données des applications qui sont enregistrées en clair dans le répertoire Apps... Seul Dropbox pourrait fournir une solution pour crypter ces données.

  6. #6
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    3 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 147
    Points : 9 365
    Points
    9 365
    Par défaut
    Euh... J'ai l'impression d'avoir rêvé du futur...
    Pourquoi ? Parce que j'ai déjà lu cette information il y a de celà plusieurs mois !

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  7. #7
    Membre averti
    Profil pro
    Inscrit en
    octobre 2010
    Messages
    183
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : octobre 2010
    Messages : 183
    Points : 409
    Points
    409
    Par défaut
    Citation Envoyé par imikado Voir le message
    Même si ce n'est pas une faille à proprement dite, ça rappel le fait qu'il faut sensibiliser sur l'authentification et la sécurité sur nos données stockées sur le "cloud"

    La double authentification, comme google le propose avec google authentificator est une première bonne solution.
    La double authentification existe déjà sur dropbox mais uniquement sur le site ou lorsque un nouvel appareil est associé au compte. L'activation permanente au niveau du client serai pas mal contraignant pour l'utilisateur...

    De toute façon pour une sécurité optimale il est préférable de crypter toutes donnée sensible susceptible de transiter sur le cloud...

  8. #8
    Membre actif
    Profil pro
    Inscrit en
    mars 2006
    Messages
    164
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2006
    Messages : 164
    Points : 227
    Points
    227
    Par défaut
    Je regrette aujourd'hui que cette fonctionnalité ne soit pas intégrée de base dans Dropbox.
    Le problème c'est que si le chiffrement est intégré officiellement soit ils stockent la clé donc pas vraiment d’intérêt, soit il faut faire confiance à leur logiciel pour ne pas avoir de backdoor ou faille permettant de l'obtenir frauduleusement.

    Si il y a aussi le partage entre plusieurs équipements (un peu le but de dropbox) où il faudrait du coup ce trimbaler la clé de manière sécurisée entre les différant équipements.

    D'ailleurs je crois qu'ils utilisent effectivement un chiffrement du stockage de leur coté mais vu qu'ils conservent la clé ...

    https://www.dropbox.com/help/27/fr

  9. #9
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    9 985
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 985
    Points : 27 490
    Points
    27 490
    Par défaut
    Citation Envoyé par RaphAstronome Voir le message
    D'ailleurs je crois qu'ils utilisent effectivement un chiffrement du stockage de leur coté mais vu qu'ils conservent la clé
    Il y a du chiffrage, mais ils dechiffrent le contenu pour pouvoir le comparer, et ainsi ne garder qu'une unique copie pour tous les comptes (et donc economiser de la place disque).
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  10. #10
    Membre habitué
    Profil pro
    Inscrit en
    juillet 2004
    Messages
    417
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juillet 2004
    Messages : 417
    Points : 199
    Points
    199
    Par défaut
    Mon avis est que quelque soit le système de sécurité, celui qui ne veut pas que ses documents soient profanés ne doit pas les mettre sur le cloud. Si vraiment on veut une sécurité quasi totale en dehors des attaques physiques il faut stocker ses fichiers sur un support non connecté.

    Maintenant quoique un peu lourde une autre précaution consiste à stocker sur le cloud non pas ses documents mais un disque virtuel TrueCrypt qui les contient. Le système de chiffrement n'est sans doute pas parfait (au boulot les chercheurs !) mais il crée un obstacle supplémentaire.

    Cela dit chapeau aux chercheurs. Ils sont payés par qui pour faire ces jolies découvertes au fait ?

  11. #11
    Traductrice
    Avatar de Mishulyna
    Femme Profil pro
    Développeur Java
    Inscrit en
    novembre 2008
    Messages
    1 504
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2008
    Messages : 1 504
    Points : 7 832
    Points
    7 832
    Par défaut
    Citation Envoyé par frantzgac Voir le message
    Mon avis est que quelque soit le système de sécurité, celui qui ne veut pas que ses documents soient profanés ne doit pas les mettre sur le cloud. Si vraiment on veut une sécurité quasi totale en dehors des attaques physiques il faut stocker ses fichiers sur un support non connecté.
    Zut, c'est que je craignais: faut que je me ballade avec mon disque dur externe... Et si jamais celui-ci tombe en panne?

    Quelqu'un saurait me dire si LogMeIn est une solution plus fiable? Merci!
    Chaque fois que tu dis "je ne peux pas", n'oublie pas d'ajouter le mot "encore".

Discussions similaires

  1. Des chercheurs trouvent une faille dans l’algorithme RSA
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 12
    Dernier message: 09/12/2016, 09h32
  2. Réponses: 1
    Dernier message: 26/07/2014, 17h43
  3. Des chercheurs découvrent une faille de sécurité critique dans SSL
    Par Hinault Romaric dans le forum Sécurité
    Réponses: 26
    Dernier message: 04/10/2011, 11h04
  4. Une faille de sécurité sur Windows7
    Par Djug dans le forum Actualités
    Réponses: 3
    Dernier message: 16/11/2009, 18h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo