Adobe confirme une attaque de son site Connectusers.com
Ayant entraîné une fuite de 150 000 fichiers sur les utilisateurs

Les rubriques (actu, forums, tutos) de Développez
Tags
Réseaux sociaux


 Discussion forum

Sur le même sujet
Le , par Hinault Romaric, Responsable Actualités

ayant entrainé une fuite de 150 000 fichiers sur les utilisateurs

Adode a confirmé que la base de données de son forum Connectusers.com a été compromise, exposant les mots de passe des utilisateurs.

Cette réaction fait suite à la publication par un hacker du pseudo de « Virus HimA » sur le site Pastebin des informations sur les utilisateurs du forum.

Ce hacker a déclaré qu’il avait à sa disposition près de 150 000 fichiers contenant des informations personnelles sur les clients, le personnel et les partenaires de l’éditeur.

Pour appuyer ses propos, celui-ci a publié les fichiers contenant les adresses mails, identifiants et autres données sur plus de 230 personnes.

Suite à cela, Adobe a suspendu périodiquement le forum. Les investigations sont en cours afin d’identifier les causes de cette fuite de données. Des travaux sont également en cours pour rétablir le service. Il semblerait que l’attaque a été effectuée par injection SQL.

Les mots de passe des utilisateurs avaient été cryptés en utilisant l’algorithme de hachage MD5. Cependant, ce moyen de sécurisation peut être brisé en utilisant des outils adaptés pour craquer les mots de passe et une puissance de calcul importante.

De ce fait, Adobe est en train de procéder à la réinitialisation des mots de passe des comptes compromis. Les personnes auxquelles appartiennent ces comptes recevront des instructions pour configurer un nouveau mot de passe lorsque le service sera restauré.

Le forum Connectusers.com concerne le service Adobe Connect, utilisé pour les conférences en ligne. Cette attaque s'ajoute à une autre dévoilée en septembre dernier, ayant entraîné la signature des programmes malveillants avec des certificats de l'éditeur.

Le pirate n’a fait aucun commentaire sur ses motivations et promet de diffuser de nouveaux documents concernant plutôt Yahoo, cette fois.

Source : Adobe, Le message de Virus HimA

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de zed-4 zed-4
http://www.developpez.com
Invité régulier
le 15/11/2012 15:56
Citation Envoyé par Hinault Romaric  Voir le message

Le pirate n’a fait aucun commentaire sur ses motivations et promet de diffuser de nouveaux documents concernant plutôt Yahoo, cette fois.

Citation Envoyé par ViruS_HimA
0x02 = Why?
Adobe is a very big company but they don't really take care of them security issues, When someone report vulnerability to them, It take 5-7 days for the notification that they've received your report!!
It even takes 3-4 months to patch the vulnerabilities!
such big companies should really respond very fast and fix the security issues as fast as they can.
"Don't be like Microsoft,Yahoo security teams!! but be like Google security team" Qouted from Hima.

Avatar de Neckara Neckara
http://www.developpez.com
Expert Confirmé Sénior
le 15/11/2012 20:49
Les mots de passe des utilisateurs avaient été cryptés en utilisant l’algorithme de hachage MD5. Cependant, ce moyen de sécurisation peut être brisé en utilisant des outils adaptés pour craquer les mots de passe et une puissance de calcul importante.

Je suis étonné qu'ils utilisent encore le MD5 alors que le SHA2 (et bientôt le sha3) sont bien plus sûr.

Mais même si le MD5 n'est plus considéré comme sûr, il me semblait qu'on avait pas encore réussit à le craquer.
Est-ce qu'on peut vraiment retrouver un mot de passe même avec une très grande puissance de calcul en un temps "acceptable" (moins d'un an) à moins d'utiliser des rainbow tables ?
Avatar de Livegen Livegen
http://www.developpez.com
Membre confirmé
le 16/11/2012 8:25
Pour information, le MD5 est loin d etre sur. En effet, on sait décrypter les chaines MD5 et ceux depuis un peu prés 2004 si je me souviens bien. De nos jours, le MD5 est surtout utilisé pour vérifier la signature des fichiers téléchargés sur internet ....

A titre d exemple des sites comme http://www.md5decrypt.org/ sont présent sur internet afin de décrypté des mots de passe MD5 simple.

Essayez avec la chaine suivante par exemple :

fcc970bf84d094d84877ac65b05222eb
Avatar de transgohan transgohan
http://www.developpez.com
Expert Confirmé Sénior
le 16/11/2012 8:58
Citation Envoyé par Livegen  Voir le message
Pour information, le MD5 est loin d etre sur. En effet, on sait décrypter les chaines MD5 et ceux depuis un peu prés 2004 si je me souviens bien. De nos jours, le MD5 est surtout utilisé pour vérifier la signature des fichiers téléchargés sur internet ....

A titre d exemple des sites comme http://www.md5decrypt.org/ sont présent sur internet afin de décrypté des mots de passe MD5 simple.

Essayez avec la chaine suivante par exemple :

fcc970bf84d094d84877ac65b05222eb

Ce n'est pas du décryptage, c'est un site exploitant plusieurs rainbow tables.
Avatar de helper_moi helper_moi
http://www.developpez.com
Membre du Club
le 16/11/2012 9:12
Il ne s'agit pas de Adode mais de Adobe.
Merci de rectifier.
Avatar de tulipebleu tulipebleu
http://www.developpez.com
Membre régulier
le 16/11/2012 9:34
Le plus efficace pour stoker les mots de passe crypté, c'est d’utiliser PBKDF2 avec un salage différent pour chaque utilisateur, et au moins 4096 itérations comme pour WPA2 (IOS 4 utilise 10000 itérations). Bien sur, il faut générer un hash d'au moins 256 bits (voir 512).

Même le FBI n'arrive pas à casser ce genre de hash : http://sid.rstack.org/blog/index.php...epreuve-du-fbi

Cet algorithme calcul un hash (par exemple SHA1) qu'il calcul le nombre de fois indiqué, ce qui fait qu'au lieux de mettre 1 milliseconde pour calculer le hash (comme pour les sha1, sha256 ou sha512), il va mettre disons 50 millisecondes pour calculer le hash, ce qui fait que pour tester les hash, cela prend plus de temps.

Le salage doit être généré aléatoirement, et n'a pas besoin d'être caché, il peut être en claire dans la base pour chaque utilisateur. De même, le nombre d’itération peut être dans la base en claire.

Au fur et à mesure que la puissance des PC augmentera, il faudra augmenter le nombre d’itération.

Bien entendu, même avec l'algorithme le plus sécurisé, un mot de passe comme password peut rendre le système très facile à casser.
Avatar de tulipebleu tulipebleu
http://www.developpez.com
Membre régulier
le 16/11/2012 13:12
Les conseils de OWASP pour le stockage des mots de passe :
https://www.owasp.org/index.php/Pass...ge_Cheat_Sheet
Avatar de jnspunk jnspunk
http://www.developpez.com
Membre du Club
le 18/11/2012 0:38
Pour le site MD5 Decrypt essayez ça : 9346fb8c113af78a652d4d8438899238

Comment passer de 32 caractères à un chapitre complet d'un de mes livres favoris????
Je suis sur le cul.
Avatar de Neckara Neckara
http://www.developpez.com
Expert Confirmé Sénior
le 18/11/2012 9:12
Citation Envoyé par jnspunk  Voir le message
Pour le site MD5 Decrypt essayez ça : 9346fb8c113af78a652d4d8438899238

Comment passer de 32 caractères à un chapitre complet d'un de mes livres favoris????
Je suis sur le cul.

C'est juste que le site a enregistré que ce hash correspondait à ce chapitre de livre.
Mais ce hash correspond à une infinité d'autres textes si on ne fixe pas une taille pour le texte hashé.
De plus, si la taille du texte est supérieur à la taille du hash, il y aura forcément des collisions.
Dans ce cas là, le hash sert plus à vérifier l'intégrité du texte qu'à le protéger.
Avatar de jnspunk jnspunk
http://www.developpez.com
Membre du Club
le 18/11/2012 11:50
Merci pour l'explication!
Donc si j'avais écrit le hash avant, le site aurait été incapable de le "décrypter" (ce n'est pas du décryptage du coup)
Offres d'emploi IT
Chef de projet/lead technique web h/f
CDI
Pages Jaunes - Ile de France - Paris (75000)
Parue le 14/10/2014
Développeur récupération de données h/f
CDI
SECIB - Languedoc Roussillon - Pérols (34470)
Parue le 30/09/2014
Da / ui & web designer
CDI
Takoma - Ile de France - Garches (92380)
Parue le 08/10/2014

Voir plus d'offres Voir la carte des offres IT
 
 
 
 
Partenaires

PlanetHoster
Ikoula