Alerte sur le piratage de l'offre de signature électronique de Dropbox

Des cybercriminels ont eu accès à des données client en piratant l'infrastructure de la plateforme Sign de Dropbox. (Crédit Photo : Dropbox)

La plateforme de signature électronique Sign de Dropbox a été victime d'un piratage. Les cybercriminels ont eu accès à des tokens, des clés MFA, des mots de passe hachés et des informations sur les clients.

Le 24 avril dernier, Dropbox a détecté un accès non autorisé aux systèmes de production de son offre Sign. Issue du rachat de la start-up Hellosign en 2019 pour 230 M$, elle fournit une plateforme de signature électronique aux clients du spécialiste du stockage cloud et du partage de documents. L'enquête menée par l'éditeur a déterminé que les cybercriminels ont eu accès à un outil de configuration automatisée du système de Sign.

Avec cet accès, ils ont obtenu des élévations de privilège et ouvrir ainsi les portes de la base de données des clients. Dans sa communication Dropbox détaille les différentes informations concernées par cette violation de données, « des courriels, des noms d'utilisateur, des numéros de téléphone et des mots de passe hachés, en plus des paramètres généraux du compte ». Plus grave, la société ajoute que « certaines informations d'authentification, telles que des clés API, des token OAuth et du MFA » font partie des données compromises.

Réinitialisation de tous les moyens d'authentification

Pour l'instant, Dropbox affirme ne pas avoir connaissance d'accès non autorisés aux documents et contrats des clients sur la plateforme Sign et que d'autres services de l'éditeur soient touchés par déplacement latéral. En prévention, il a réinitialisé les mots de passe de tous les utilisateurs, déconnectés toutes les sessions de Sign et limité l'usage des clés API jusqu'à ce qu'elles soient renouvelées par le client. Pour ceux qui se servent de l'authentification à plusieurs facteurs (MFA), ils doivent supprimer la configuration de leurs applications MFA et la reparamétrer avec une autre clé MFA récupérée sur le site web.

Dropbox a averti les clients concernés par l'incident et les enjoignant à la prudence dans les prochaines semaines sur des campagnes de phishing. L'éditeur avait déjà été victime d'un piratage en 2022 où des cybercriminels s'étaient emparés de 130 référentiels de code en pénétrant dans les comptes GitHub de l'entreprise à l'aide d'informations d'identification volées à des employés.

Edition du 02/05/2024, par Jacques Cheminat