Intercepter les données du dossier public de DropBox… facile

Le dossier Public de DropBox, un peu trop libre pour les personnes non autorisées à le consulter. Dropbox est une société bien connue spécialisée dans les solutions de cloud computing. La société annonce des centaines de millions d’utilisateurs, avec des pétaoctets de données stockées. Aujourd’hui, beaucoup utilisent Dropbox pour partager quoi que ce soit en famille ou entre amis. Cet usage semble parfaitement raisonnable si les données partagées ne sont pas sensibles, mais Dropbox est aujourd’hui aussi largement utilisé par les entreprises. DropBox remplace même parfois le service de Backup ou autres moyens de partager des fichiers entre collègues. Il parait que cela permet d’économiser de l’espace disque, du temps. Mais côté confidentialité, il faudra repasser, surtout si vous utilisez le dossier « Public ».

Notre ami Jean-Pierre Lesueur (DarkCoderSc) vient de nous montrer comment les fichiers DropBox dans le dossier « Public », normalement sécurisés et non accessibles aux personnes non autorisées, sont en fait parfaitement libres d’être consultés par des personnes extérieures. Pour cela, rien de plus simple. Il faut posséder un compte DropBox valide, une petite application python du nom de wfuzz et … c’est tout.

L’outil va égrener les noms de fichiers qui peuvent se trouver dans le dossier Public d’un compte DropBox ciblé. Bref, arrêtez de penser que le dossier « Public » n’est pas accessible aux personnes non autorisées. Démonstration en vidéo, ci-dessous.

6 commentaires sur “Intercepter les données du dossier public de DropBox… facile”

  1. Ping : Sete'ici » Internet, données, USA, Bahrein, recyclage, MSF, Tracfin… Les liens du dimanche #30
  2. Bonjour,

    Il faut bien lire les exemples cités dans l’article.

    Beaucoup de gens utilise le dossier publique de Dropbox pour faire du backup et partager à des collègues ces mêmes fichiers;

    C’est un article qui vise à éduquer et non pointer une faille !

  3. « les fichiers DropBox dans le dossier « Public », normalement sécurisés et non accessibles aux personnes non autorisées »

    Qui n’est pas censé être autorisé, à la base ?
    Le dossier est *publique* (COM SON NOM O GRO AZAR!!!).

    Lorsque vous ne partagez un dossier qu’avez un autre compte en particulier, l’accès est bel et bien restreint.
    Ensuite si quelqu’un est assez demeuré pour mettre un fichier password.txt en public, le problème est ailleurs…

    1. Mouais, pour avoir tenté hubic, je trouve que c’est vraiment l’horreur à utiliser. Certes les quotas sont intéressants mais il y a très peu de clients (de systèmes d’exploitations supportés, je veux dire), et les quelques existants ne sont vraiment pas au point.

      Exact pour PGP. Peu importe le service, l’endroit où ils sont hébergés et la nationalité du fournisseur, il ne faut pas l’utiliser pour des fichiers sensibles, ou alors réellement protéger ceux-ci.

  4. Heu ? Je ne comprends pas très bien quel est le problème ? Un dossier Public est par définition accessible à tout le monde. Je ne vois pas très bien où se trouve la faille de sécurité dans ce cas.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *