Tout savoir pour réaliser, optimiser et diffuser ses photos

MBP Nikon

Adobe : quelques dizaines de millions de comptes compromis

Materiel
06/11/2013 | Franck Mée

Au début du mois, Adobe avait reconnu qu’une attaque avait permis à des pirates de récupérer des informations chiffrées sur près de trois millions de comptes d’utilisateurs. Ce week-end, ce nombre a été largement revu à la hausse : on parle désormais de dizaines de millions de comptes — et pire : le chiffrement ne serait pas aussi efficace qu’espéré.

Le 3 octobre, Adobe annonçait que des informations concernant 2,9 millions d’utilisateurs avaient été dérobées. Les hackers avaient mis la main sur les noms d’utilisateurs, des informations de paiement et certains mots de passe, mais sous une forme chiffrée les rendant difficiles à retrouver ; Adobe expliquait avoir contacté individuellement les utilisateurs concernés pour les inviter à modifier leurs mots de passe.

Bilan à la hausse

Le week-end dernier, des informations supplémentaires ont fuité, révélant que l’attaque avait en fait une envergure largement supérieure. Premier point : ce seraient plus de 150 millions d’enregistrements qui auraient été compromis, dont 38 millions concernant des utilisateurs actifs (les autres seraient des comptes abandonnés, des faux comptes créés lors de tests, etc.). Adobe indique avoir réinitialisé d’office les mots de passe de ces 38 millions de comptes et avoir contacté leurs propriétaires.

Deuxième point : les données utilisateurs ne sont pas le seul butin des pirates. Les codes sources de plusieurs logiciels, dont l’emblématique Photoshop, feraient partie des données piratées. Pas de quoi inquiéter les utilisateurs ? Oui et non : accéder à l’architecture même des logiciels pourrait permettre à des hackers de trouver des failles exploitables plus facilement qu’en tentant des attaques au hasard, et donc d’utiliser les logiciels Adobe pour accéder aux données des ordinateurs. Ceci étant, la disponibilité du code des logiciels Open Source (comme Firefox ou Gimp) ne semble pas avoir posé de problème de sécurité majeur, et Flash est connu pour avoir par le passé permis à des pirates de prendre le contrôle d’ordinateurs : la fermeture du code source n’est pas une garantie de sécurité.

Chiffrement... ou pas

Troisième point, sans doute le plus gênant : selon Ars Technica, parmi les données volées, certains mots de passe et informations bancaires seraient chiffrés avec le Triple DES, un algorithme réversible. Autrement dit : à condition de trouver la bonne clef, il serait possible de retrouver l’information en clair. Trouver la bonne clef n’est pas simple, mais les pirates pourraient se simplifier la tâche en concentrant leur recherche sur des comptes dont ils connaissent le mot de passe (il suffit qu’ils aient eux-mêmes un AdobeID) : en connaissant l’information cherchée, il est possible de savoir immédiatement si la clef testée est la bonne.

D’autre part, ils n’ont pas forcément besoin d’avoir la clef pour obtenir le mot de passe : il semble qu’ils aient récupéré un fichier d’indices pour certains comptes. Si les indices comme "nom de jeune fille de ma belle-mère" n’apportent pas grand-chose, celui qui utilise "ma couleur favorite" ou "nom+12345" est à une poignée d’essais de se faire voler son mot de passe ; et comme un utilisateur ordinaire utilise souvent le même mot de passe sur différents sites, il est possible aux pirates de récupérer ainsi un certain nombre d’accès à des sites bancaires ou commerciaux...

Selon Adobe, les comptes créés récemment utilisent le chiffrement SHA-256, qui est asymétrique (il est impossible de retrouver le mot de passe à partir de la version stockée). Ceux-ci devraient donc être à l’abri de l’attaque ; pour les autres, en revanche, modifier son mot de passe — non seulement chez Adobe, mais partout où vous utilisez le même — est conseillé.

- Le site d’Adobe

Cet article vous a plu ? Notez le et partagez le sur les réseaux sociaux !



MPB
Archives Le monde de la photo

NOUVEAUTE : Vous recherchez un article, un test ?

Accédez aux archives MDLP