Après le vol récent de millions d’identifiants, Dropbox est une nouvelle fois l’objet de cyberattaques. Le service de stockage en ligne vient en effet d’être visé par une attaque de phishing particulièrement évoluée.
Voler les identifiants de connexion
Les attaques de phishing semblent avoir le vent en poupe sur les services de partage et d’hébergement. Google Drive et Docs avaient fait l’objet d’attaques similaires il y a quelque temps. Aujourd’hui, Dropbox est ciblé par les pirates quelques jours seulement après une autre affaire concernant sa sécurité. Plusieurs millions d’identifiants ont en effet été récemment volés pour tenter de pénétrer la plateforme. Cette dernière a pourtant tenu à rassurer les utilisateurs : aucun de ses serveurs n’a été piraté et aucune information ou donnée confidentielle n’a pu être récupérée par les cyberpirates. Pour en revenir au phishing, les utilisateurs de Dropbox ont été invités par message électronique à découvrir un document hébergé sur le service.
Ils sont alors redirigés — après avoir cliqué sur le lien inclus dans le message — vers une page de connexion leur demandant leurs identifiants Dropbox et ceux d’autres comptes de messagerie. La page en question est cependant fausse puisqu’elle sert uniquement à récupérer les identifiants d’utilisateur. La véritable page de connexion n’apparaît qu’une fois toutes les informations collectées. Au final, de nombreux internautes ont fourni leurs identifiants personnels à des pirates sans le savoir. La présence de nombreux éléments SSL dans la fausse page de connexion, mais surtout l’utilisation d’une page hébergée sur le service, avait d’ailleurs suffi à tromper les dispositifs de sécurité mis en place par la plateforme.
Une attaque évoluée
Dropbox n’a cependant pas attendu longtemps pour réagir à l’attaque de phishing. Symantec affirme en effet que le service a rapidement fermé le lien vers la fausse page de connexion après l’avoir identifié. Il révèle également avoir détecté un nombre important de messages électroniques envoyés vers les utilisateurs. Ces messages contenaient un fichier volumineux et un lien vers la page de connexion d’un site reprenant certains éléments de Dropbox pour tromper l’internaute. Le piège consistait à inciter l’utilisateur à voir le document via un clic sur le lien inclus dans l’email. La fausse page de connexion hébergée sur la plateforme s’ouvrait alors pour collecter ses identifiants. Naturellement, il était impossible de faire la différence entre la véritable page et l’autre puisque cette dernière contenait des éléments SSL et utilisait un nom de domaine crédible.
Pour Nick Johnston, employé chez Symantec, l’attaque de phishing sur Dropbox a vraisemblablement été bien pensée. Héberger la fausse page de connexion sur la plateforme permet en effet de bénéficier de son nom de domaine et d’une adresse similaire à celle utilisée pour le partage des photos, vidéos, dossiers et autres fichiers personnels ou professionnels. Cette pratique est moins suspecte pour les utilisateurs d’autant plus qu’elle aurait été inefficace si le fichier était hébergé sur un autre site. Enfin, les pirates ont eu l’idée de présenter de nombreux éléments de la page au travers de SSL. Il n’y avait dans ce cas aucun risque d’alerte de la part des anciens navigateurs.
2 comments