Piratage : Adobe doit encore prévenir des millions de clients

Florian Innocente |

Adobe est à la peine pour contacter les clients concernés par le piratage de ses comptes utilisateurs. Une attaque décelée le 17 septembre et révélée le 3 octobre. Du code source de quelques logiciels (Photoshop, Adobe Acrobat, Adobe Reader et ColdFusion) avait été aussi subtilisé.

Heather Edell, une porte-parole d'Adobe a expliqué à Reuters que l'entreprise a déjà contacté par email et par lettre pas moins de 2,9 millions de clients. Des dizaines d'autres millions doivent encore être prévenus. Une tâche de longue haleine, qui prend « plus de temps que prévu » admet l'éditeur. Il faut d'une part valider les adresses électroniques des personnes touchées et envoyer ces messages par petites vagues successives de manière à ce qu'elles ne soient pas refoulées par les FAI et leurs systèmes antispam.

Le siège d'Adobe à San Jose

Adobe se dit encore incapable de quantifier le nombre précis de personnes qui ont vu leurs informations de compte dérobées (email, mots de passe chiffrés, informations de cartes bancaires et indices de mots de passe). Edell conteste cependant le chiffre de 152 millions de comptes dérobés. Un volume qui a été calculé à partir d'une base de données qui circule sur le web (lire aussi Adobe : votre compte a-t-il été hacké ?).

Cette base attaquée était, selon Adobe, sur le point d'être mise hors service : environ 25 millions d'enregistrements contenaient des adresses invalides et 18 millions de mots de passe inutilisables. Une bonne part de ce volume représenterait des comptes fictifs, créés lorsqu'un utilisateur souhaitait juste récupérer des mises à jour ou d'autres contenus offerts.

Facebook et Evernote ont quand même averti certains de leurs clients, après avoir compulsé cette liste et observé des similitudes entre des adresses (lire Evernote alerte ses utilisateurs après le piratage des comptes d'Adobe). Il s'agissait de les inviter à changer de mot de passe s'il était identique avec celui créé chez Adobe.

Tags
avatar ThoTokio | 

Perso j'ai reçu un mail de Winamax à ce sujet, pour me dire que mon adresse était dans la liste et qu'il fallait donc que je change mon mot de passe Winamax dans le cas où ça serait le même que celui de mon compte Adobe.
Hallucinant l'ampleur de cette attaque...

avatar TheBoingGuy | 

J'ai reçu 2 emails lors de la découverte du piratage me conseillant de modifier mon mot de passe et un courrier papier la semaine dernière.

avatar iPoivre | 

J'ai reçu ma petite lettre, ça ma fait rire !

avatar daxr1der | 

Courrier reçu la semaine dernière, d'être au courant de ce piratage, ok mais après ? Il faut faire quoi ?

avatar @MathieuChabod | 

@daxr1der :
Changer son mot de passe. Simple non ?

avatar daxr1der | 

@chabodmathieu :

Oui mais les infos carte bleu ?

avatar oomu | 

normalement non, pas votre carte bleu. Votre banque veille au grain. surveillez vos relevés.

avatar DVP | 

Il faut changer son mot de passer, oui, mais il faut surtout changer son mot de passe sur tous les sites ou on utilise le même!

Dashlane m'a d'ailleurs prevenu: j'ai eu une alerte me disant "le site d'adobe a été piraté, vous devez changer votre mpd" mais qui me disait aussi "ce meme mot de passe est utilisé de X sites, empressez vous de les changer là bas aussi".

Car il est evident que les pirates vont tenter d'utiliser les memes logins/mot de passe sur toutes sortes de grand site.
Et là c'est bien plus grave.

avatar PiRMeZuR | 

Je n'ai toujours rien reçu.

Je trouve hallucinant qu'ils prennent des précautions pour éviter que leurs mails finissent dans les spams... Une boîte comme Adobe n'a pas la possibilité de se faire ajouter dans la liste blanche des principaux prestataires de courriels ?!

avatar oomu | 

non.

Adobe n'a pas ce moyen là (et je suis ultra sérieux)

ni elle a le moyen de passer les innombrables serveurs de messagerie des entreprises ou universités qui sont pré-configurés pour refuser les réceptions MASSIVES.

Notez par exemple que cela concerne des des centaines de milliers d'étudiants enregistrés au près d'adobe via une boite de messagerie d'université.

Il faut aussi connaitre TOUS LES FAIS du monde (!)

et aussi que tout le monde soit pro-actif de se dire "ha mais bien sur, autorisons les réceptions massives de Adobe.com ,j'ai que ça à foutre"

de plus, on ne sait pas par quel opérateur de diffusion de courriers Adobe peut éventuellement passer.

Et encore une fois, si on faisait cela, c'est le risque de s'exposer aux spammeurs qui spooferaient (imiteraient) Adobe.

CAR le courrier électronique utilisé depuis près de 30 ANS n'est pas authentifié/garanti (sauf à mettre en place les mécanimes S/MIME et GPG que PERSONNE ne veut utiliser qu'AUCUN FAI/Constructeur d'ordinateur ne souhaitent prendre les devants pour enfin configurer les utilisateurs et leurs fournir le moyen de garantir leur identité)

enfin bref : NON ADOBE N'A PAS ce pouvoir, malgré d'être une grande entreprise, elle n'est qu'une entreprise, pas le Cosmos.

avatar zoubi2 | 

@PiRMeZuR:

Tout à fait d'accord, ça me semble friser le ridicule.

Z'ont un compte lambda chez SFR ou Orange? N'importe quoi...

avatar oomu | 

ils ne sont que @adobe.com

du point de vue d'un serveur de messagerie d'une des millions d'entreprises/universités et milliers de FAI etc, ce n'est qu'un expéditeur parmi tant d'autres.

Pourquoi faudrait il lui donner un passe-droit quand on sait qu'on peut facilement spoofer une identité mail.

On ne peut pas faire confiance à priori.

avatar oomu | 

Vous surestimez ce qu'est le Mail (smtp/imap) et combien internet est beaucoup + simple qu'il n'en a l'air.

Il est simple, donc relativement peu onéreux et TRES efficace pour transmettre.

Cela signifie aussi qu'il est "stupide" (un protocole "stupide" n'est pas forcément une mauvaise chose et cela était par design pour la plupart des protocoles qui fondent ce qu'on utilise couramment dans internet maintenant), peu de contrôle (vive la liberté et l'efficacité) mais du coup peu authentifié, peu de garantie.

et Adobe n'est qu'une entreprise, comme le serait Microsoft en pareille situation.

avatar oomu | 

autre point:

les mafieux sont bourrés d'imagination et sont surtout les rois de l'opportunisme

Comme on sait que Adobe va envoyer des courriers, vous verrez nombre de phishing tentant de se faire passer pour adobe pour vous envoyer sur un site plein de cafards quelque part en patagonie, tenter de vous convaincre d'y donner votre vie toute entière..

c'est la réalité.

L'échec de sécurité d'Adobe est une merde à de multiples niveaux.

Par exemple, il n'est pas tant si grave que des mots de passe puissent être trouvés, chacun ses problèmes on pourrait dire.

Mais en ayant laissé la "mafia" obtenir des MILLIONS DE mots de passe (faiblement "hashés" et cryptés), cela permet toujours + d'études statistiques sur ce que les gens (nous vous moi) choisissent comme mot de passe : les hackers apprennent toujours plus à mieux imaginer ce que les gens décident.

C'est un corpus gigantesque qui permet d'apprendre sur comment les humains pensent. Ca permet d'améliorer les robots qui tentent de deviner les mots de passe en apprenant sur les gens.

-
Aussi le nombre délirant de mot de passe cryptés qui ont été révélés permet aussi par statistique de briser les algorithmes de cryptage, les rendant au final + faible. Plus un hacker a de mots de passes cryptés sous le coude, plus il peut tenter des techniques mathématiques pour briser le codage, et surtout trouver enfin les failles mathématiques des algorithmes les plus courants. C'est une variante de force brute.

Le nombre effroyable de mots de passe volés (yahoo, sony, dropbox, et maintenant le recordman Adobe) est un problème pour TOUT le monde au final: même celui qui utilise pas adobe. La sécurité des techniques habituelles est mise à mal.

On est obligé de migrer vers des algorithmes plus forts, + coûteux en temps processeurs (pour crypter, indolore pour une personnage, pénible pour quelqu'un qui gère des millions de comptes).

Il s'agit d'une économie souterraine avec ses fournisseurs, ses acheteurs et son propre marché : ces fichiers de mot de passe ont circulé très vite entre hackers et mafieux. C'est une denrée prisée , pour laquelle on paie des gens.

avatar Wolfmac | 

je post pas souvent dans les commentaires mais là merci à Oomu pour toute ces explications qui complètent bien cet article

avatar BS0D | 

@oomu: même si certains penseront que ça frise le conspiracionisme, je soutiens tes commentaire ci-dessus. Étant l'heureux rédacteur et webmaster d'un site web touchant à la sécurité informatique et notamment du web, je confirme que la plupart des gens ayant reçu ce mail n'ont aucune idée de l'ampleur des dégâts. Adobe qui indique simplement de changer son mdp sinon utilise le même sur d'autres sites, ce n'est que le haut l'iceberg sur le vrai danger pour les naïfs du web partout dans le monde.
Je ne sais pas si ce que tu dis sur les mafieux est vrai, mais il est sur qu'une dB d'une telle ampleur se mon nie très cher, ne serait ce que parmi les grosses industriels de la pub, chez les hackers black hat de haut niveau qui vont glaner tout ce qu'ils pourront trouver au passage, etc.faut pas oublier qu'il y'a une indus tire entière fondée exclusivement sur la vie privée des gens...

C'est pour ça que personnellement, je ne mets rien d'important ou trop personnel sur ma personne sur Facebook ou autres réseaux sociaux merdiques... Car ce que fait une basse de donnée et le système de saisie est fait par l'homme. Et ce que crée un homme, un autre peut toujours le démonter... On n'est jamais à l'abri de rien.

avatar i-han | 

j'ai toutefois du mal à voir ce que ces millions de pass cryptés vont apporter de plus aux algorithmes mathématiques actuels.

sachant que pour l'immence majorité de ces mots de passe clients, ils ne répondent justement à aucune logique mathematique ( je vous passe les dates de naissances et autres banalités )
et que les autres , generés par des machines, s'appuient sur des technos de cryptage connues .

avatar pacou | 

Changer son mot de passe, passer à Maverrick et demander a changer les mots de passe de tout les sites couramment utiliser et activer le trousseau sur iCloud, ou utiliser 1password pour créer de nouveaux mots de passe.

C'est fastidieux mais il n'y a que cela a faire.

Pour le compte adobe il faut aussi vérifier les données qui sont dans votre compte. Si vous avez comme moi un creative cloud, alors il y a des données de paiement. Dans ce cas il faut entrer en vigilance pour toute le durée de validité de ces données ( si cb, alors jusqu'à son échéance, si RIB, alors jusqu'à ce que SEPA soit en place donc 1er février 2014, si IBAN et BIC, tout le temps, mais dans ces deux derniers cas vous pouvez retirer des autorisations de prélèvement que vous ne connaissez pas)

Au bureau nous venons de recevoir le même type de message de la part de ADP GSI, un éditeur de logiciel de paie. Pareil, une intrusion ou un soupçon d'intrusion...

C'est la fête sur internet.

avatar Androshit | 

Adobe se fout franchement de ses clients : quid du dédommagement ?

avatar alan63 | 

un nouveau mot de passe gratuit

avatar vVdesign | 

G reçu ma nouvelle CB avant même d'être prévenu par Adobe... Et même pas un geste commercial.

avatar Jamseth | 

Ca alimentera les rainbow table pour les mdp.
Le spam pour les emails.
De toute façon vu le nombre d'entreprises qui se croient à l'abri des infiltrations informatiques avec un anti-virus réseau et des prestataires à 2 balles...

Par contre, ce fail est gigantesque et va continuer à faire du mal à adobe de manière durable.
Et le code source volé...ça fait vraiment mal.

avatar Mc_iPhone | 

@ oomu : +1

Suite au piratage de mon compte CREATIVE CLOUD SUITE :

• j’ai dû changer ma carte bancaire à la suite d’une tentative d’escroquerie,
• ma carte bancaire a été bloquée un Week-End,
• j’ai dû modifier sur plusieurs sites internet, mes coordonnées bancaires,
• j’ai rencontré des difficultés de connexion sur iTunes, mon compte a subi des attaques. Les hackers ont tentés d’utiliser mon adresse mail en @mac.com
• et ma principale adresse mail est dorénavant considérée comme piratée, après la diffusion des fichiers contenant mes coordonnées...

And last but not least, le montant de mon abonnement CREATIVE CLOUD SUITE a été augmenté, de 25 € à 65 € !!

J’ai reçu fin novembre un courrier d'ADOBE antidaté du 23 octobre m’avertissant des possibilités de réutilisation de mes coordonnées...

La cellule de crise n’a surtout pas communiqué sur la compensation du préjudice subi par les clients d’ADOBE, ni même sur la robustesse de la solution mise en place pour que l’accident industriel ne se reproduise pas. Ahurissant !!

L’augmentation du tarif est la cerise sur le gâteau !

avatar Malcolmm | 

Grace à MacGé j'ai appris que mon adresse circulait et d'Adobe je ne me rappelle pas d'avoir reçu un mail , merci MacGé . Sinon ça implique en effet de modifier adresses et mots de passe sur tous les sites pour lesquels j'utilisais la même adresse , quoique je n'utilisais pas le même mot de passe quand même. Bref je me retrouve avec des adresses différentes pour chaque site et autant de mots de passe complexes . Je vais investir dans 1password ou travailler ma mémoire même si je n'ai qu'une confiance relative en 1password.

CONNEXION UTILISATEUR