Adobe : le plus grand vol de données de tous les temps ?

Un nouveau fichier découvert sur l’Internet underground confirme qu’Adobe ne s’est pas fait voler 3 millions de comptes utilisateurs, mais plus de 150 millions. Une faille monstre dans la sécurité de l’éditeur. Et ce, même si une bonne partie de ces comptes sont ceux d’utilisateurs inactifs.

Pire que Heartland en 2009 (130 millions de cartes de crédit volés) ou Sony en 2011 (100 millions de comptes Playstation) ? La société spécialisée dans la sécurité LastPass affirme avoir trouvé pas moins de 152 millions de comptes utilisateurs Adobe sur un site underground, fréquenté par des cyber-criminels. Une découverte qui suggère, une fois de plus, que le vol de données dont a été victime l’éditeur est bien plus important que ce qu’il a bien voulu admettre de prime abord.

Le fichier découvert par LastPass renfermait des e-mails, des mots de passe cryptés et des indices permettant aux utilisateurs de retrouver ces mots de passe, ces derniers étant stockés en clair.

La semaine dernière, Adobe reconnaissait que 38 millions de comptes utilisateurs avaient été volés dans ses systèmes. Lors de la découverte de l’affaire, révélée par le blogueur Brian Krebs début octobre, l’éditeur d’Acrobat et Photoshop avait dans un premier temps admis s’être fait dérober un peu moins de 3 millions d’enregistrements de cartes de crédit de clients ainsi que sur le code source de plusieurs produits maison (dont Acrobat, ColdFusion et ColdFusion Builder).

Utilisateurs inactifs mais pas inintéressants

Fin octobre, le même Brian Krebs affirmait avoir retrouvé sur AnonNews.org deux fichiers : l’un renfermant 150 millions de comptes utilisateurs sur divers services de l’éditeur (ce qui semble corroborer la découverte de LastPass), le second semblant contenir le code source de Photoshop, l’un des produits majeurs d’Adobe.

La différence entre le chiffre cité par Adobe et les observations de Brian Krebs ou de LastPass pourrait venir de la présence de données de comptes d’utilisateurs désormais inactifs. L’éditeur a en effet confirmé que les données retrouvées par LastPass provenaient bien de ses systèmes, mais a minimisé l’importance de ces informations.

Selon Adobe, elles seraient issues d’une base de données qui devait être décommissionnée tout prochainement. Selon le porte-parole d’Adobe, interrogé par Reuters, le fichier renferme ainsi 25 millions d’e-mails inactifs et 18 millions de mots de passe non valides. Et les comptes de nombreux utilisateurs inactifs.

Si l’argument a une certaine validité, il n’en reste pas moins que les comptes d’utilisateurs inactifs demeurent intéressants pour des cyber-criminels, qui peuvent mettre en place des campagnes de phishing (e-mails frauduleux pressant, par exemple, les utilisateurs de mettre à jour leurs données personnelles).

Adobe a oublié le sel…

Par ailleurs, cité par nos confrères de Reuters, le Pdg de LastPass, Joe Siegrist, ne s’est pas gêné pour pointer la responsabilité directe d’Adobe, notant que les mots de passe des utilisateurs auraient normalement dû être protégés par des techniques de cryptage (appelées salage) au sein de la base de données volée. Ce qui aurait empêché toute identification des mots de passe les plus fréquemment employés par les utilisateurs. Selon Joe Siegrist, le mot de passe le plus usité a été retenu par 1,9 million d’utilisateurs !

Adobe indique avoir terminé sa campagne d’informations auprès des utilisateurs actifs dont les données d’accès ont été subtilisées, afin de les presser de modifier ces informations. Adobe assure n’avoir pour l’instant repéré aucun accès illicite. Une campagne similaire auprès des utilisateurs inactifs est en cours, a affirmé le porte-parole de l’éditeur à Reuters.


Voir aussi

Silicon.fr étend son site dédié à l’emploi IT
Silicon.fr en direct sur les smartphones et tablettes