Des développeurs cassent la sécurité du client Dropbox

« A l’occasion d’une conférence, des développeurs ont réussi à craquer la sécurité du client Dropbox, d’intercepter des données SSL de ses serveurs et de contourner le système de double authentification du service de stockage et de partage de fichiers en ligne.

Lors de la conférence Usenix 2013, deux développeurs ont démontré le piratage de Dropbox. Le service de stockage et de partage de fichiers revendique plus de 100 millions d’utilisateurs et plus de 1 milliard de fichiers échangés par jour. Dans l’article sur leur méthode, Dhiru Kholia et Przemysław Wegrzyn ont réalisé de la rétro ingénierie de l’application Dropbox écrite en Python. « Notre travail rèvèle l’API interne utilisée par le client Dropbox et la facilité avec laquelle nous avons pu écrire un client Dropbox Open Source », précisent les deux programmeurs.(…)

Dans le document, ils expliquent en détail leur manière de procéder. Ils ont analysés différentes versions des applications Dropbox (1.1.x à 2.2.8) sur plusieurs plateformes (Windows, Linux et Mac OS). Ils ont constaté qu’elles étaient écrites majoritairement en Python. Par la suite, ils ont décomposé l’exécutable, la décompilation et le déchiffrement pour connaître le code source. Par ailleurs, les développeurs ont décrit une méthode pour contourner le système de double authentification. Ils expliquent « Nous avons constaté que l’authentification à deux facteurs (tel qu’elle est utilisée par Dropbox) ne protège que contre l’accès non autorisé au site web de Dropbox (…) »