{"id":443990,"date":"2022-11-02T19:12:55","date_gmt":"2022-11-02T21:12:55","guid":{"rendered":"https:\/\/teknomers.com\/fr\/violation-de-dropbox-des-pirates-ont-accede-sans-autorisation-a-130-depots-de-code-source-github\/"},"modified":"2022-11-02T19:12:56","modified_gmt":"2022-11-02T21:12:56","slug":"violation-de-dropbox-des-pirates-ont-accede-sans-autorisation-a-130-depots-de-code-source-github","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/violation-de-dropbox-des-pirates-ont-accede-sans-autorisation-a-130-depots-de-code-source-github\/","title":{"rendered":"Violation de Dropbox\u00a0: des pirates ont acc\u00e9d\u00e9 sans autorisation \u00e0 130\u00a0d\u00e9p\u00f4ts de code source GitHub"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Le service d&#8217;h\u00e9bergement de fichiers Dropbox a r\u00e9v\u00e9l\u00e9 mardi avoir \u00e9t\u00e9 victime d&#8217;une campagne de phishing qui a permis \u00e0 des acteurs malveillants non identifi\u00e9s d&#8217;acc\u00e9der sans autorisation \u00e0 130 de ses r\u00e9f\u00e9rentiels de code source sur GitHub.<\/p>\n<p>&#8220;Ces r\u00e9f\u00e9rentiels comprenaient nos propres copies de biblioth\u00e8ques tierces l\u00e9g\u00e8rement modifi\u00e9es pour \u00eatre utilis\u00e9es par Dropbox, des prototypes internes et certains outils et fichiers de configuration utilis\u00e9s par l&#8217;\u00e9quipe de s\u00e9curit\u00e9&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/dropbox.tech\/security\/a-recent-phishing-campaign-targeting-dropbox\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> dans un avis.<\/p>\n<p>La violation a entra\u00een\u00e9 l&#8217;acc\u00e8s \u00e0 certaines cl\u00e9s API utilis\u00e9es par les d\u00e9veloppeurs de Dropbox ainsi qu&#8217;\u00e0 &#8220;quelques milliers de noms et d&#8217;adresses e-mail appartenant aux employ\u00e9s de Dropbox, aux clients actuels et pass\u00e9s, aux prospects et aux fournisseurs&#8221;.<\/p>\n<p>Il a cependant soulign\u00e9 que les r\u00e9f\u00e9rentiels ne contenaient pas de code source li\u00e9 \u00e0 ses applications ou infrastructure principales.<\/p>\n<p>Dropbox, qui propose des services de stockage dans le cloud, de sauvegarde de donn\u00e9es et de signature de documents, entre autres, compte plus de 17,37 millions d&#8217;utilisateurs payants et 700 millions d&#8217;utilisateurs enregistr\u00e9s au <a rel=\"nofollow noopener\" href=\"https:\/\/dropbox.gcs-web.com\/news-releases\/news-release-details\/dropbox-announces-second-quarter-fiscal-2022-results\" target=\"_blank\">Ao\u00fbt 2022<\/a>.<\/p>\n<p>La divulgation intervient plus d&#8217;un mois apr\u00e8s que GitHub et CircleCI ont mis en garde contre des attaques de phishing con\u00e7ues pour voler les informations d&#8217;identification de GitHub via de fausses notifications pr\u00e9tendant provenir de la plate-forme CI\/CD.<\/p>\n<p>La soci\u00e9t\u00e9 bas\u00e9e \u00e0 San Francisco a not\u00e9 que &#8220;plusieurs Dropboxers ont re\u00e7u des e-mails de phishing se faisant passer pour CircleCI&#8221; d\u00e9but octobre, dont certains ont \u00e9chapp\u00e9 \u00e0 ses filtres anti-spam automatis\u00e9s pour atterrir dans les bo\u00eetes de r\u00e9ception des employ\u00e9s.<\/p>\n<p>&#8220;Ces e-mails d&#8217;apparence l\u00e9gitime invitaient les employ\u00e9s \u00e0 visiter une fausse page de connexion CircleCI, \u00e0 saisir leur nom d&#8217;utilisateur et leur mot de passe GitHub, puis \u00e0 utiliser leur cl\u00e9 d&#8217;authentification mat\u00e9rielle pour transmettre un mot de passe \u00e0 usage unique (OTP) au site malveillant&#8221;, a expliqu\u00e9 Dropbox.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663940313_323_Des-chercheurs-decouvrent-le-nouveau-Metador-APT-ciblant-les-operateurs.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>La soci\u00e9t\u00e9 n&#8217;a pas r\u00e9v\u00e9l\u00e9 le nombre de ses employ\u00e9s tomb\u00e9s dans le pi\u00e8ge de l&#8217;attaque de phishing, mais a d\u00e9clar\u00e9 qu&#8217;elle avait pris des mesures rapides pour faire pivoter toutes les informations d&#8217;identification de d\u00e9veloppeur expos\u00e9es et qu&#8217;elle avait alert\u00e9 les autorit\u00e9s charg\u00e9es de l&#8217;application de la loi.<\/p>\n<p>Il a \u00e9galement d\u00e9clar\u00e9 n&#8217;avoir trouv\u00e9 aucune preuve que des donn\u00e9es client aient \u00e9t\u00e9 vol\u00e9es \u00e0 la suite de l&#8217;incident, ajoutant qu&#8217;il mettait \u00e0 niveau ses syst\u00e8mes d&#8217;authentification \u00e0 deux facteurs pour prendre en charge <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/WebAuthn\" target=\"_blank\">cl\u00e9s de s\u00e9curit\u00e9 mat\u00e9rielles<\/a> pour la r\u00e9sistance au phishing.<\/p>\n<p>&#8220;Les professionnels vigilants peuvent \u00eatre la proie d&#8217;un message soigneusement con\u00e7u, livr\u00e9 de la bonne mani\u00e8re au bon moment&#8221;, a conclu la soci\u00e9t\u00e9.  &#8220;C&#8217;est pr\u00e9cis\u00e9ment pourquoi le phishing reste si efficace.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/dropbox-breach-hackers-unauthorizedly.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Le service d&#8217;h\u00e9bergement de fichiers Dropbox a r\u00e9v\u00e9l\u00e9 mardi avoir \u00e9t\u00e9 victime d&#8217;une campagne de phishing qui a permis \u00e0 des acteurs malveillants non identifi\u00e9s d&#8217;acc\u00e9der sans autorisation \u00e0 130 de ses r\u00e9f\u00e9rentiels de code source sur GitHub. &#8220;Ces r\u00e9f\u00e9rentiels comprenaient nos propres copies de biblioth\u00e8ques tierces l\u00e9g\u00e8rement modifi\u00e9es pour \u00eatre utilis\u00e9es par Dropbox, des [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":443991,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[121506,19242,1731,5597,4168,4158,4165,4161,133,8862,50438,4157,4159,4171,4170,4167,4160,4163,4162,249,4394,1181,4172,4169,11137,899,4166,4164],"class_list":["post-443990","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-130depots","tag-accede","tag-autorisation","tag-code","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-dropbox","tag-github","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ont","tag-pirates","tag-sans","tag-securite-informatique","tag-securite-internet","tag-source","tag-violation","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/443990","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=443990"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/443990\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/443991"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=443990"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=443990"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=443990"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}