On peut pirater des comptes Dropbox, Google Drive et OneDrive sans avoir le mot de passe



Un rapport par la firme Imperva montre qu’un pirate peut accéder facilement aux services de stockage et de synchronisation sur Cloud sans avoir besoin d’un mot de passe.

Imperva décrit une nouvelle technique appelée MITC (Man in the Cloud) qui permet à des pirates d’accéder des comptes de services populaires comme ceux de Box, Dropbox, Google Drive et OneDrive. Les attaques MITC ne se basent pas sur des failles sur les applications de synchronisation ou des failles dans les serveurs de stockage sur Cloud, mais plutôt sur un problème de conception. Ces services ne demandent pas de mots de passe à chaque fois qu’un fichier est synchronisé et au lieu, ils utilisent un Token pour autoriser ces tâches pour éviter d’ennuyer les utilisateurs à chaque fois. Le Token est stocké sur chaque appareil qui est utilisé par la personne pour se connecter au service et même s’il est chiffré, le Token peut être craqué et volé par les pirates.

Le MITC pourrait devenir une technique très efficace pour propager les Malwares et les Ransomwares

Avec les nouveaux Token, le pirate peut les ajouter à sa propre machine ou à des scripts automatisés et il pourrait compromettre de nombreux comptes de stockage en ligne. Il pourrait voler et modifier les fichiers sans oublier qu’il pourrait infecter tous les comptes avec les Malwares. Imaginez les dégâts si un compte DropBox était infecté avec un Ransomware sur vos fichiers de sauvegarde. Selon les chercheurs d’Imperva, le plus inquiétant est que ces Tokens continueront de fonctionner même si l’utilisateur change son mot de passe (cela concerne uniquement Box et DropBox). Pour supprimer le point d’attaque du pirate, il faudra supprimer les appareils connectés au service et dans les cas extrêmes, il faudra qu’il supprime son compte pour en ouvrir un nouveau.

L’équipe d’Imperva conclut que pendant qu’ils testaient l’attaque en interne, ils ont trouvé des preuves que l’attaque MITC est déjà utilisée par les pirates. L’article décrivant la faille est déjà disponible et les chercheurs vont aussi présenter leurs travaux pendant la conférence Black Hat de 2015.

 

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, moyenne : 5,00 sur 5)
Loading...

Houssen Moshinaly

Rédacteur en chef d'Actualité Houssenia Writing. Blogueur frénétique et précaire comme tout blogueur qui se respecte.

2 réponses

  1. 6 juillet 2017

    […] font aussi partie du lot. Concernant les plateformes de partage de fichiers tel que Dropbox (on peut pirater dropbox sans avoir le mot de passe) ou encore iCloud (300 millions de compte piratés ?), il est désormais évident que le risque de […]

  2. 16 mars 2018

    […] Déjà parce que tout le monde n’a pas forcément un compte sur Facebook permettant de consulter les photos ou les vidéos, mais surtout parce qu’au niveau de la protection des donnés, on connait les risques que de partager des photos personnelles sur le célèbre réseau social peut comporter. Il y a également d’autres options comme les sites de partage (pour la plupart américains) comme dropbox, iCloud ou encore Google photos, mais là encore, on ne compte plus le nombre de témoignages et d’articles dans les journaux qui alertent sur les nombreux risques de piratages qui peuvent arriver (200 millions de faux comptes sur Facebook, les pirates qui volent les identifiants ou encore on peut pirater votre compte dropbox, google drive ou onedrive sans avoir le mot de passe). […]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *