DropxBox, le service de stockage de données en ligne, a été en accès libre pendant presque 4 heures cette nuit. Il suffisait de connaitre l’email d’un utilisateur de DropBox et de renseigner n’importe quel mot de passe pour accéder à ses données stockées (Il fallait aussi savoir que la faille de sécurité était en cours).
Une belle boulette pour ce service en ligne, qui base une grande partie de sa communication sur le caractère sécurisé de ses données justement.
Arash Ferdowsi, le CTO (et co-fondateur) de DropBox donne plus d’informations, ainsi que des précisions sur les suites apportées à l’affaire, sur le blog de DropBox. Moins de 1% des utilisateurs se seraient connectés pendant cette période, et les logs des connexions sont en cours d’analyse pour essayer de déterminer les connexions « abusives ».
La cause : Un bug « effet de bord »‘ du à une modification apportée par un développeur et poussée en ligne peut-être un peu rapidement, qui aurait affecté les mécanismes d’authentification. Shit happens comme on dit.
Si ça ne remet pas en cause la qualité et l’intérêt de ce type de service, ça aura surement comme effet positif le renforcement du contrôle qualité dans la chaîne de développement et de mise en production, et dans les systèmes de sécurité protégeant ces services. Ce qui ne nous tue pas, nous rend plus fort dit l’adage.
Personnellement, je ne peux en tout cas qu’apprécier la façon dont réagit le management de DropBox qui choisit la transparence et la communication auprès des ses abonnés, plutôt que la traditionnelle langue de bois associé au déni le plus absurde, malheureusement trop souvent pratiqué dans notre cybermonde.
&url; Wikio
Jeu de briques
Snake
Pacman
Bubble