Le système de partage de fichiers Dropbox propose désormais une authentification à deux niveaux, de façon à compliquer la tâche des pirates qui tenteraient de voler les informations d'identification d'un compte. Le service de stockage en ligne, parmi l'un des plus utilisés du web, avait déjà déclaré le mois dernier qu'il mettrait en place une procédure d'authentification à deux niveaux. A l'époque, les utilisateurs d'un autre site avaient été victimes d'un vol d'identifiants et de mots de passe ayant permis d'accéder à leurs comptes.

Si les pirates savent facilement trouver ces informations en se servant de malwares et des techniques d'ingénierie sociale, il leur est beaucoup plus difficile d'intercepter des mots de passe à usage unique, même si c'est tout de même possible. Les codes envoyés par SMS ou générés par un terminal sont rapidement obsolètes.

Pour bénéficier du nouveau mode d'authentification, les utilisateurs de Dropbox devront d'abord mettre à jour leur client en version 1.5.12. https://forums.dropbox.com/topic.php?id=66910 La fonction peut être activée via le site Web du service de partage de fichiers en passant par l'onglet « Sécurité » apparaissant dans les paramètres de compte de chaque utilisateur. Ceux-ci peuvent demander de recevoir un code à six chiffres par SMS sur leur téléphone mobile lorsqu'un nouveau périphérique est utilisé pour accéder à leur compte.

Un code de sauvegarde à 16 chiffres

Selon Dropbox, un code valide peut également être obtenu en utilisant une application qui prend en charge le protocole Time-Based One-Time Password, du genre Google Authenticator, Amazon AWS MFA ou Authenticator. Toujours selon Dropbox, les utilisateurs d'Apple peuvent choisir de générer un code depuis l'application du terminal en utilisant l'outil OATH Tool. http://www.nongnu.org/oath-toolkit/man-oathtool.html

Lors de la mise en place de la procédure d'authentification à deux niveaux, les utilisateurs reçoivent un code de sauvegarde à 16 chiffres qui peut être utilisé pour déverrouiller leur compte s'ils perdent leur téléphone et ne peuvent pas recevoir les codes par SMS ou via une application.

Certains utilisateurs du service de stockage en ligne ont signalé quelques problèmes sur le forum du fournisseur, mais en général, ils se disent assez satisfaits de la mise en place de cette procédure de sécurité. Sur le forum, Dan W., un salarié de Dropbox, a indiqué que l'entreprise travaillait à réduire le temps d'expiration des codes SMS, qui est actuellement d'une minute environ. https://forums.dropbox.com/topic.php?id=66910&page=4 Dropbox veut aussi réduire le temps d'acheminement des SMS et ajouter de nouveaux transporteurs. « En attendant, si l'acheminement du SMS prend trop de temps, je recommande d'utiliser plutôt une application hors ligne », écrit-il.

Effacer les éléments de reconnaissance

Dropbox planche également sur une fonctionnalité qui permettrait aux utilisateurs d'effacer automatiquement de leur navigateur actuel ou de tous les autres navigateurs, les éléments qui permettent de les reconnaître. L'idée est de faire en sorte qu'un nouveau code soit requis à chaque tentative de connexion. Selon le salarié de Dropbox, « d'ici à ce que la procédure soit au point, il est toujours possible d'effacer les données d'authentification, en supprimant les cookies Dropbox du navigateur ».