Dropbox a admis ce mardi avoir été la cible d'une campagne de phishing qui a abouti à la fuite de 130 de ses dépôts GitHub.
Le service de stockage en ligne Dropbox a reconnu avoir été victime d'une campagne de phishing qui allait au-delà de la simple collecte de noms d'utilisateur et de mots de passe. Elle a en effet permis aux pirates de s'emparer des codes d'authentification multifacteur. Ceux-ci ont ainsi pu dérober 130 des dépôts GitHub de Dropbox, plateforme aux 700 millions d'utilisateurs (dont 17,5 millions payants). Que s'est-il passé, et à quoi les hackers ont concrètement eu accès ?
Du phishing tout ce qu'il y a de plus classique
Le 14 octobre, Dropbox a été alertée par GitHub au sujet d'un comportement suspect identifié la veille. Après avoir mené une enquête plus approfondie, le service de stockage s'est aperçu qu'un acteur malveillant avait également accédé à l'un de ses comptes GitHub. Cet acteur avait en réalité ciblé des employés de Dropbox, en utilisant des adresses électroniques usurpant l'identité de la plateforme américaine d'intégration et de livraison de code CircleCI.
Dropbox utilise GitHub pour héberger ses référentiels publics et certains référentiels privés. Ces dépôts Git, qui servent d'entrepôt virtuel pour un projet, permettent d'enregistrer les versions du code associé et d'y accéder si besoin. Dropbox passe aussi par CircleCI pour certains déploiements internes.
Au début du mois d'octobre, plusieurs utilisateurs de Dropbox ont reçu des e-mails de phishing qui donc usurpaient l'identité de CircleCI pour cibler les comptes GitHub de Dropbox. Et si les systèmes internes de l'entreprise ont permis de mettre en quarantaine certains de ces courriers électroniques, d'autres ont malheureusement atterri dans les boîtes d'utilisateurs de la plateforme.
Un accès à des données non sensibles d'employés Dropbox, les clients épargnés
Dans ces e-mails, les pirates déguisés demandaient aux employés (on ignore combien ont été piégés exactement) de se rendre sur une fausse page de connexion CircleCI. Ils devaient y entrer leurs identifiants GitHub et utiliser leur clé d'authentification unique que le hacker récupérait. Grâce à ce petit stratagème de phishing, les pirates ont eu accès à 130 référentiels de code GitHub. Que contenaient-ils ?
Les dépôts GitHub comportaient des copies de bibliothèques tierces, des prototypes internes et divers fichiers de configuration utilisés par l'équipe de sécurité. Dropbox évoque aussi des clés API utilisées par ses développeurs, parmi les éléments auxquels les individus malveillants ont eu accès. Quelques milliers de noms et adresses électroniques rattachés à des employés, clients actuels et anciens de Dropbox sont compris dans la fuite.
Très rapidement, le service de stockage a su réagir en écartant rapidement la présence de code lié à ses applications ou à son infrastructure de base. De plus, les cybercriminels n'ont pas non plus eu accès à des éléments plus sensibles comme les comptes, les mots de passe et les données de paiement de ses clients.
« Nous sommes désolés d'avoir échoué et nous nous excusons pour tout inconvénient », a déclaré Dropbox qui explique que certains types d'authentification sont plus vulnérables que d'autres. « Avant cet incident, nous étions déjà en train d'adopter cette forme d'authentification multifacteur plus résistante au phishing. Bientôt, tout notre environnement sera sécurisé par WebAuthn avec des jetons matériels ou des facteurs biométriques », ajoute l'entreprise. WebAuthn est devenu, en mars 2019, le standard web officiel pour les connexions sans mot de passe. Il permet de créer et d'utiliser des identifiants de clé publique au niveau de l'origine pour authentifier les utilisateurs. Il reste compatible avec les authentificateurs NFC, FIDO2, U2F et ceux qui permettent de s'authentifier via empreinte ou verrouillage de l'écran.
- mood2 Go d'espace gratuit
- storagePas de stockage payant
- upload100 Mo en limite d'envoi
- home_pinServeurs en Europe
Source : Dropbox
