Vous utilisez Dropbox ? Mauvaise nouvelle : un pirate informatique est parvenu à s'introduire sur le système de Dropbox Sign et il a volé des informations correspondantes aux clients de l'entreprise américaine. Faisons le point.

Dropbox est mondialement connue pour son service de stockage et de partage de fichiers en ligne similaire à OneDrive, Google Drive, etc... Pourtant, ce n'est pas le seul service proposé puisqu'il y en a d'autres, notamment Dropbox Sign. Anciennement appelé HelloSign, il s'agit d'un service en ligne de signature électronique. C'est ce service qui est impacté par l'incident de sécurité.

En effet, le 24 avril 2024, Dropbox a détecté un accès non autorisé à l'environnement de production de son service Dropbox Sign. Un pirate est parvenu à mettre la main sur des identifiants valides ! Grâce à ce compte compromis, Dropbox précise que le pirate a pu accéder à la base de données clients.

Cet incident de sécurité affecte uniquement Dropbox Sign : "D'un point de vue technique, l'infrastructure de Dropbox Sign est largement distincte des autres services Dropbox.", peut-on lire sur le site de Dropbox.

Que contient cette base de données ?

Cette base de données contient des informations sensibles au sujet des utilisateurs, dont le nom d'utilisateur, l'adresse e-mail, le numéro de téléphone, ainsi que le mot de passe du compte. Le précieux sésame n'est pas accessible directement en clair, car une fonction de hachage cryptographique est utilisée avant de stocker l'information.

Ce n'est pas tout ! Le cybercriminel a pu également accéder aux réglages du compte, aux données liées à l'authentification multifacteurs, aux clés d'API et aux jetons oAuth. Des informations précieuses pour faire le pont avec d'autres applications et services.

Cette fuite de données concerne aussi les utilisateurs invités, qui n'ont pas forcément un compte Dropbox Sign : "Pour ceux qui ont reçu ou signé un document via Dropbox Sign, mais qui n'ont jamais créé de compte, les adresses électroniques et les noms ont également été exposés.", peut-on lire sur le site de Dropbox.

Comment se protéger ?

Si vous utilisez Dropbox Sign, vous devez changer votre mot de passe dès que possible et effectuer une nouvelle configuration de l'application MFA pour utiliser une nouvelle clé de génération des codes TOTP. Si vous utilisez ce mot de passe sur d'autres sites, nous vous recommandons de le renouveler également.

De son côté, Dropbox a déjà pris des mesures pour protéger les comptes de ses utilisateurs : "En réponse, notre équipe de sécurité a réinitialisé les mots de passe des utilisateurs, déconnecté les utilisateurs de tous les appareils qu'ils avaient connectés à Dropbox Sign, et coordonne la rotation de toutes les clés API et des jetons OAuth."

Enfin, comme toujours, soyez vigilant, car ces informations pourraient être utilisées pour mettre en place une campagne de phishing ciblée.

Source

The post Piratage de Dropbox Sign : e-mails, mots de passe, clés d’API, etc… volés par le pirate ! first appeared on IT-Connect.

Bitwarden Authenticator, c'est le nom de la nouvelle application mobile lancée par Bitwarden ! Son objectif : générer des codes TOTP utilisables dans le cadre de l'authentification multifacteurs (MFA).

Bitwarden, éditeur du célèbre gestionnaire de mots de passe du même nom, a lancé une nouvelle application pour Android et iOS. Cette application sert à générer des mots de passe à usage unique basé sur le temps, c'est-à-dire des codes TOTP (Time-based one-time password), pour les comptes enregistrés dans l'application. Il peut s'agir d'un compte de n'importe quel service ou site web à condition que celui-ci propose l'authentification multifacteurs basée sur cette méthode très répandue.

Dans le gestionnaire de mots de passe Bitwarden, il y a déjà une fonctionnalité pour générer des codes TOTP, mais elle est réservée aux utilisateurs payants. D'ailleurs, cette fonctionnalité sera maintenue : "L'Authenticator intégré restera disponible avec les abonnements payants.", peut-on lire sur le site de Bitwarden.

A contrario, l'application Bitwarden Authenticator est gratuite pour tous les utilisateurs, y compris ceux qui n'utilisent pas Bitwarden. Elle vient s'ajouter à la longue liste des applications de gestion de comptes telles que Microsoft Authenticator, Google Authenticator, FreeOTP ou encore Authy.

Pour ajouter un compte à l'application Bitwarden Authenticator, l'utilisateur n'a qu'une chose à faire : scanner le QR code généré par le service ou le site web.

La feuille de route de Bitwarden Authenticator

Pour le moment, l'application, bien que stable, n'en est qu'à la phase 1 de son lancement. Cela signifie que cette première version est limitée en termes de fonctionnalités, et notamment vis-à-vis des applications concurrentes.

Comme le montre l'image ci-dessous, correspondante à la feuille de route de Bitwarden Authenticator, d'autres fonctionnalités seront ajoutées par la suite. Il y aura notamment la possibilité de synchroniser ses comptes Bitwarden Authenticator sur les serveurs de Bitwarden, et les retrouver dans son coffre-fort de mots de passe. Il est également prévu l'ajout d'un mode de restauration et la prise en charge du 2FA par notifications ("Push-based 2FA").

Bitwarden Authenticator : une application open source

Sachez que ces applications sont open source, donc leur code source sont disponibles sur GitHub (Android - iOS). Enfin, voici les liens pour télécharger cette application :

• Bitwarden Authenticator - Google Play Store
• Bitwarden Authenticator - Apple App Store

Qu'en pensez-vous ?

Source

The post Bitwarden Authenticator, une nouvelle application MFA open source pour Android et iOS first appeared on IT-Connect.

Les mini-PC sont en vogue, et cela n’est pas sans raison : leurs dimensions réduites, leur poids léger, leurs performances, leur faible consommation électrique et leur prix attractif en font des appareils très prisés. Cependant, tous ne se valent pas. Aujourd’hui, nous vous proposons de découvrir dans le détail le NiPoGi CK10. Ce modèle est équipé d’un processeur Intel Core i5-12450H et dispose de 32 Go de RAM. Pour le stockage, il est doté d’une capacité de 512 Go, mais on peut aller bien au-delà. Son prix démarre à partir de 339€. Test NiPoGi CK10 Cela fait maintenant plusieurs jours […]
Lire la suite : Test du NiPoGi CK10

Une nouvelle mise à jour de Windows 10 et 11 vient causer des problèmes aux utilisateurs. Le dernier patch de sécurité de l’OS a pour effet d’empêcher l’utilisation de VPN. Malheureusement, Microsoft, bien qu’au courant du problème, ne devrait pas le résoudre tout de suite.

L’article Windows 11 et 10 : la dernière mise à jour pose problème aux VPN, mais une solution existe est apparu en premier sur Tom’s Hardware.

Afin de ne pas se laisser dépasser par la concurrence, AMD aurait des projets concernant sa technologie de ray tracing. La firme aurait l’intention de proposer un nouveau moteur plus performant basé sur l’architecture RDNA 4 devant alimenter les futures cartes graphiques RX 8000.

L’article Les RX 8000 et la PS5 Pro doubleraient au minimum leurs performances en ray tracing est apparu en premier sur Tom’s Hardware.

Windows 11, Microsoft réactive l'option de restauration des fenêtres des dossiers ouvertes de l’Explorateur de fichiers.

Cet article Windows 11, la restauration des fenêtres des dossiers ouvertes est de retour ! a été publié en premier par GinjFo.

Une fuite dévoile des détails intrigants sur la prochaine gamme de processeurs de bureau d’Intel, les Core Ultra 200.

Cet article Core i9 285K, un monstre se prépare ? Que savons-nous ? a été publié en premier par GinjFo.

SilverStone propose au travers du XE360-TR5, un watercooling AIO pour les processeurs Ryzen Threadripper 7000 series aux formats TR5 et SP6.

Cet article SilverStone présente le XE360-TR5, un Watercooling AIO pour processeur Ryzen Threadripper 7000 series a été publié en premier par GinjFo.

Looking for good games to play on your Steam Deck, ROG Ally, Legion Go, or other gaming handheld? Here's what we're currently obsessed with.

© Rebecca Spear / Windows Central

Here's everything you need to know about the latest Diablo 4 Campfire Chat and what to expect when Season 4 starts on May 14

© Blizzard Entertainment

LinkedIn has joined a growing website trend of offering once-per-day games in the hopes of increasing user engagement.

© LinkedIn

Global PC Shipments have grown by 3% year-over-year in Q1 2024. This is predominantly based on the hype building around AI PCs and a fresh replacement cycle.

© Counterpoint Research

The latest Steam hardware survey and Statcounter figures shows that gamers upgrade to Windows 11 at a much higher rate than non-gamers. I took an educated guess as to why.

© Windows Central | Zachary Boddy

Razer is famous for its world-class gaming peripherals, and the compact 75% variant of its BlackWidow V4 mechanical keyboard could be a worthy addition to its range — but is it worth the price?

© Ben Wilson | Windows Central

When organizations implement a lockout policy, it is common for users to lock themselves out and require assistance from the helpdesk. In such cases, helpdesk personnel without administrator rights require permission to unlock user accounts. This can be achieved through delegation.

L’évolution rapide du panorama européen de la cybersécurité contraint les RSSI à adopter de nouvelles mesures pour protéger leurs organisations et se préparer pour l’avenir. Face à ces problématiques, l’intelligence artificielle et la gestion autonome des endpoints sont les représentants d’une nouvelle génération de solutions qui offriront une protection renforcée et permettront de mener un […]

The post La gestion autonome des endpoints : l’avenir de la cybersécurité européenne first appeared on UnderNews.

Kaspersky inaugure son nouveau Centre de transparence à Istanbul, (Turquie), dans lequel ses partenaires pourront en apprendre davantage sur les solutions Kaspersky, accéder au code source, et consulter les résultats d’audits indépendants. Cette création, qui marque une nouvelle étape dans l’expansion de son Initiative Mondiale de Transparence (GTI), que Kaspersky développe depuis 2018, vise à […]

The post Kaspersky renforce son Initiative Mondiale de Transparence en créant un Centre de transparence à Istanbul first appeared on UnderNews.

Dans un écosystème où les fondements de la cybersécurité se trouvent ébranler par les nombreuses attaques informatiques comme celle récemment de France Travail, le Secure Access Service Edge (SASE) s’est tout naturellement imposé comme un allié déterminant d’une approche adéquate, inaugurant une nouvelle ère de la sécurité des réseaux. La révolution SASE est en marche […]

The post Sécuriser l’ensemble du réseau : la promesse du SASE first appeared on UnderNews.

Netwrix, un fournisseur de cybersécurité qui facilite la sécurité des données, annonce la publication de son rapport mondial 2024 sur les tendances en matière de sécurité hybride. Il révèle que depuis un an, 79 % des organisations ont repéré une cyberattaque, contre 68 % en 2023. Aussi, 45 % de ces organisations ont engagé des […]

The post Étude Netwrix : 79 % des organisations ont repéré une cyberattaque lors des 12 derniers mois, contre 68 % en 2023 first appeared on UnderNews.