Le Défi H 2016 a distingué hier le projet T-Jack des étudiants de Polytech Grenoble (Prix du Défi H et Prix de l'innovation technologique) mais aussi SignBand de l'école Exia Cesi de Bordeaux (Prix Jeune pousse) et Dicodys de l'ECE Paris (Prix du public).

L'Image du jour

Le Défi H 2016 a distingué hier le projet T-Jack des étudiants de Polytech Grenoble (Prix du Défi H et Prix de l'innovation technologique) mais aussi ...

Cybersécurité : quels outils pour contrer les nouvelles menaces

Dernier Dossier

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers »...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
3
Réagissez Imprimer Envoyer

Des développeurs cassent la sécurité du client Dropbox

A l'occasion d'une conférence, des développeurs ont réussi à craquer la sécurité du client Dropbox, d'intercepter des données SSL de ses serveurs et de contourner le système de double authentification du service de stockage et de partage de fichiers en ligne.

Lors de la conférence Usenix 2013, deux développeurs ont démontré le piratage de Dropbox. Le service de stockage et de partage de fichiers revendique plus de 100 millions d'utilisateurs et plus de 1 milliard de fichiers échangés par jour. Dans l'article sur leur méthode, Dhiru Kholia et Przemysław Wegrzyn ont réalisé de la rétro ingénierie de l'application Dropbox écrite en Python. « Notre travail rèvèle l'API interne utilisée par le client Dropbox et la facilité avec laquelle nous avons pu écrire un client Dropbox Open Source », précisent les deux programmeurs. Ils ajoutent que leurs travaux « montrent comment contourner l'authentification à deux facteurs et accèder aux données des utilisateurs ». Ils indiquent que leur méthode de rétro ingénierie peut s'appliquer à d'autres solutions que Dropbox.

Dans le document, ils expliquent en détail leur manière de procéder. Ils ont analysés différentes versions des applications Dropbox (1.1.x à 2.2.8) sur plusieurs plateformes (Windows, Linux et Mac OS). Ils ont constaté qu'elles étaient écrites majoritairement en Python. Par la suite, ils ont décomposé l'exécutable, la décompilation et le déchiffrement pour connaître le code source. Par ailleurs, les développeurs ont décrit une méthode pour contourner le système de double authentification. Ils expliquent « Nous avons constaté que l'authentification à deux facteurs (tel qu'elle est utilisée par Dropbox) ne protège que contre l'accès non autorisé au site web de Dropbox. L'API internet du client ne peut pas supporter ou utiliser l'authentification à deux facteurs ! Cela implique qu'il suffit d'avoir seulement la valeur host_id pour avoir accès aux données de la cible stockées dans Dropbox ».

De même, ils ont réussi à intercepter des données SSL à l'aide d'injections de code et de patch monkey (une façon de modifier ou d'étendre du code qui sera exécuté sans modifier le code source original). Cette technique peut s'adapter à d'autres solutions de partage de fichiers cloud.

Convertir Dropbox à l'Open Source

Au-delà de leur travail, Dhiru Kholia et Przemysław Wegrzyn invite Dropbox à faire évoluer sa plateforme vers l'Open Source, plutôt que de rester une « boîte noire ». « Nous espérons que notre travail inspirera la communauté de la sécurité à écrire un client Dropbx en Open Source et plus généralement de mener des recherches dans d'autres solutions de stockage cloud », ont écrit les développeurs.

Piqué au vif, Dropbox a répondu à un mail de nos confrères de Computerworld, « nous apprécions les contributions de ces chercheurs et de tous ceux qui aident à sécuriser Dropbox ». Il a ajouté, «dans le cas présenté ici, l'ordinateur de l'utilisateur devrait d'abord avoir été compromis de telle sorte que l'attaquant contrôle l'ensemble du PC et pas seulement le client Dropbox, pour ensuite mener les attaques ».

COMMENTAIRES de l'ARTICLE3

le 20/09/2013 à 17h48 par Visiteur2863 :

Bonjour les grand. Je suis Biko Georges =, Expert en sécurité informatique. et je voudrai souligner le fait que c'est une faille associé à la Pile TCP! Dropbox n'y ai pour rien dans cette faille. Le Hijacking (MITM) ne dépendant pas toujours du client attaqué et dans le cas de DropBox (SSL) c'est pas de la faute de leurs chargé de sécurité ou de leurs systèmes. Même Facebook et Google en sont victime mais c'est pas de leurs fautes non plus. Il s'agit d'une faille du comportement pure des lois de communications en réseau (TCP/IP). Aujjoud8 Facebook par exemple est sous SSL mais SSLSTRIP a toujours marché sur eux ainsi Google et tout ceux qui sont sous SSL... mais aujourd8 on a pas d'autres choix que de subire les fautes de départs de nos premier constructeurs de protocoles réseaux

Signaler un abus

le 17/09/2013 à 12h19 par Visiteur2821 :

@visiteur2798
Vous soutenez la critique de Dropbox en arguant l'insécurité de système d'exploitation windows, fait que vous semblez trouver normal, comme allant de soit.

Signaler un abus

le 12/09/2013 à 12h40 par Visiteur2798 :

«dans le cas présenté ici, l'ordinateur de l'utilisateur devrait d'abord avoir été compromis de telle sorte que l'attaquant contrôle l'ensemble du PC et pas seulement le client Dropbox, pour ensuite mener les attaques ».

Oui et alors ? Cela prend à peine quelques minutes à quelqu'un qui s'y connaît un peu si la cible est sous windows...

Signaler un abus

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité