Deux chercheurs ont cassé les protections du client Dropbox
Deux spécialistes en sécurité qui s'en étaient déjà pris plusieurs fois à la sécurité du client Dropbox depuis quelques années, viennent à nouveau de compromettre la sécurité de ce dernier.
En décompilant et en analysant le code du client Dropbox, ils ont réussi à mettre au point une nouvelle attaque. Celle-ci leur a permis de récupérer deux identifiants qui sont normalement propres à chaque appareil lié à un compte Dropbox (le login et le mot de passe n'étant pas conservés sur l'appareil une fois l'association effectuée). Le premier permet de se faire passer auprès des serveurs pour un client Dropbox légitime pour un compte donné, et ainsi, de récupérer n'importe quel fichier de ce compte, tandis que la combinaison des deux permet de se connecter à la version web de Dropbox sans avoir besoin de connaître le mot de passe de l'utilisateur.
Ils sont également parvenus à étudier le protocole de communication entre le client et le serveur, malgré l'utilisation d'un chiffrement SSL, en injectant du code dans le client pour accéder aux paquets non chiffrés, ce qui leur a permis d'écrire un client Dropbox open-source.
L'impact de ce hack reste tout de même relativement mineur, puisqu'il permet "seulement" de voler l'association d'un appareil à un compte Dropbox pour la reproduire sur un autre appareil, et non pas d'accéder à un compte quelconque. Mais il prouve encore une fois que les mécanismes de sécurité sont rarement à toute épreuve et qu'il faut y réfléchir à deux fois avant de confier ses données à un service de stockage en ligne, et nous ne pouvons que vous recommander de chiffrer vos données en amont pour réduire les risques en cas de piratage (ou d'espionnage...).
Notons également que les chercheurs ont précisé que le mécanisme de connexion web à partir des deux identifiants n'est déjà plus utilisé par les versions les plus récentes du client Dropbox. Les serveurs continuent de l'accepter pour l'instant, probablement pour laisser le temps aux utilisateurs de mettre à jour leurs clients, mais Dropbox pourrait très rapidement le désactiver.
Enfin, ils indiquent également que les méthodes qu'ils ont utilisées pour déchiffrer et décompiler le code du client Dropbox sont très génériques et qu'ils les ont déjà utilisées avec succès pour analyser d'autres logiciels écrits en Python et utilisant les mêmes techniques d'obfuscation du code.