Deux hackers indiquent avoir cassé la sécurité de Dropbox

Deux spécialistes en sécurité ont présenté leurs travaux dans lesquels ils détaillent la méthode leur permettant d'intercepter les communications SSL du service. Ils précisent avoir été en mesure de procéder en décompilant et en déchiffrant le code source de Dropbox.

Dhiru Kholia et Przemyslaw Wegrzyn, deux spécialistes en sécurité dévoilent une note (.pdf) dans laquelle ils indiquent la manière selon laquelle ils ont été en mesure de passer outre les mesures de sécurité de l'outil de stockage et de partage de fichiers en cloud Dropbox. Ils expliquent ainsi avoir pu intercepter des données depuis les serveurs du service.

En étudiant l'exécutable de l'application, les hackers précisent avoir décompilé le code source de Dropbox afin d'en étudier les contours. Après cette étape, ils ont été en mesure d'intercepter les communications SSL en provenance des serveurs de Dropbox et ajoutent qu'un contournement de l'identification à deux facteurs est éventuellement possible, même s'il faut pour cela créer un nouveau client.

« Nous avons décrit une méthode permettant de passer outre les sécurités relatives à la double authentification des comptes Dopbox. Mais il s'agit en fait de techniques relativement génériques permettant d'intercepter les données via des méthodes d'injection de code », précisent Dhiru Kholia et Przemyslaw Wegrzyn.

Par leur annonce, les hackers espèrent que le service de stockage de données sera, à l'avenir, plus ouvert à certains risques en matière de sécurité ainsi qu'aux pratiques dites de rétro-ingénierie ou « reverse engineering », permettant comme dans le cas présent de littéralement démonter un système pour en analyser les systèmes qui le constitue.