La semaine dernière, Dropbox vous a peut-être invité à changer votre mot de passe. Vous n’êtes pas seul. Selon Motherboard, les hackers se sont emparés, lors de l’attaque de 2012 dont on ignorait l’ampleur, des identifiants de 68 millions de comptes. L’information a été vérifiée par l’expert en sécurité Troy Hunt, qui a examiné les données disponibles.

Le problème, c’est que Dropbox ne procède pas à une remise à zéro forcée. Il faut d’abord se connecter à son compte avec ses vieux identifiants pour voir le message, également envoyé par email au compte associé, qui est parfois une ancienne adresse email qu’on ne consulte plus. Par prudence, si vous aviez un compte en 2012 et que vous n’avez jamais changé le mot de passe depuis, il faut :

• le changer illico sur Dropbox
• et faire pareil sur tous les autres services (email, Facebook) sur lesquels vous utilisiez le même mot de passe.

Plus d’un milliard de comptes Internet compromis

En 2012, Dropbox avait en effet moins de 100 millions d’utilisateurs. Presque tous les comptes de l’époque ont donc été compromis. Certes, les mots de passe étaient protégés par une opération de hachage (un brouillage des données qui ne peut pas, en théorie s’inverser). Mais pour la moitié des comptes, l’entreprise Cloud utilisait une méthode en carton qui n’a pas dû résister longtemps aux hackers.

Surtout qu’avec plus d’un milliard de comptes compromis ces dernières années (MySpace, LinkedIn, Adobe et Badoo représentent à eux seuls 800 millions de comptes), les pirates peuvent comparer une nouvelle fuite aux anciennes et ainsi rapidement « cracker » un mot de passe.

Dans tous les cas, une visite sur HaveIBeenPwned (Ai-je été piraté) s’impose. Troy Hunt, expert réputé de Microsoft, recherche votre email dans la base de données de tous les comptes touchés par l’une des méga-brèches récentes. C’est sécurisé (aucun mot de passe n’est entré ou stocké). Et cela permet même d’être averti en cas de piratage futur. Un service d’utilité publique.