Developpez.com

Le Club des Développeurs et IT Pro

Adobe victime du plus grand piratage de toute son histoire

38 millions de comptes utilisateurs compromis et le code source de Photoshop dérobé

Le 2013-10-30 09:12:43, par Cedric Chevalier, Expert éminent sénior
Récemment, Adobe a subit une cyberattaque des plus élaborées sur ses serveurs. Celle-ci a inévitablement conduit à la compromission de pratiquement 2,9 millions de comptes utilisateurs enregistrés pour ses différents services, selon les premières estimations de la firme.

Au passage, les hackers ont réussi à emporter le code source de Photoshop, Adobe Acrobat, ColdFusion, de nombreux numéros de carte de crédit, les adresses mails ainsi que les valeurs chiffrées des mots de passe des utilisateurs.

Des estimations qui ont été rapidement revues à la hausse après qu’un fichier volumineux de 3,8 Gb ait été posté anonymement sur le site anonnews.org. Il s’est avéré (en effet Adobe a contacté les administrateurs du site Web pour leur demander de supprimer le fichier de leur serveur) que le dit fichier contenait en plus du code source des logiciels phares d’Adobe, plus de 150 millions de noms d’utilisateurs et mots de passe cryptés.


Cependant, la firme a annoncé qu’à peu près 38 millions d’utilisateurs réels étaient victimes des assauts des hackers. Pour Adobe, le fichier du site anonnews contenait une multitude de comptes invalides.

Par la voie de son porte-parole Heather Edell, la société tente de rassurer ses utilisateurs. Le nécessaire a été fait pour stopper l’attaque et les utilisateurs victimes ont été alertés par mail et leur mot de passe réinitialisé. « Nous avons terminé la notification par courriel des utilisateurs victimes et réinitialiser tous les mots de passe qui ont été impliqués dans l’incident, indépendamment du fait que le compte de l’utilisateur était valide ou non », rassure la société.

Source: Krebs on Security

Et vous ?

Qu’en pensez-vous ?
  Discussion forum
42 commentaires
  • voltrone
    Membre régulier
    Envoyé par Gecko
    ce qui serait tip top c'est de voir un fork de ces logiciels passer sous licence libre. En bidouillant un peu les sources et surtout en les optimisant le résultat serait au top
    passer du code volé sous licence libre sous prétexte qu'on va permettre aux utilisateurs d'avoir un logiciel de meilleur qualité, je trouve ça juste dégelasse, on a tendance a vite pardonner le piratage et le vol quand c'est une très grosse entreprise qui est la victime.
    le 30/10/2013 à 11:42
  • tontonnux
    Membre expérimenté
    Envoyé par Hinault Romaric
    Des chercheurs en sécurité l’ont découvert, puis la société l’a confirmé : les mots de passe qui avaient été dérobés ont été chiffrés, au lieu d’être hachés par un système de hashing salé, comme le recommande les meilleures pratiques en matière de sécurité.
    En même temps, Adobe est et la sécurité...
    Envoyé par Hinault Romaric
    Selon la liste, près de 1,9 millions de comptes ont utilisés « 123456 » comme mots de passe, plus de 440 000 ont opté pour « 123456789 ». Le top 5 est complété par les mots de passe « password », « adobe123 » et « 12345678 ».
    Ajoutons tout de même un bémol à tout ça. Adobe a rendu obligatoire l'utilisation d'un compte pour pouvoir récupérer des démos... Je pense que beaucoup de comptes Adobe n'avaient en réalité pas plus de valeur qu'une adresse @yopmail.com (en tout cas, c'était le cas du compte que j'avais créé à l'époque). Donc que certains utilisateurs aient choisi de ne pas se prendre la tête pour ce compte n'est pas très étonnant.
    le 05/11/2013 à 13:38
  • Traroth2
    Membre émérite
    Envoyé par Gecko
    ce qui serait tip top c'est de voir un fork de ces logiciels passer sous licence libre. En bidouillant un peu les sources et surtout en les optimisant le résultat serait au top
    C'est totalement impossible. Le copyright appartient toujours à Adobe, et seul Adobe peut décider de changer la licence.

    En fait, ce vol peut être extrêmement dangereux. Je n'ose pas imaginer ce qui se passerait si un petit malin commençait à glisser du code de Photoshop dans Gimp, ou un truc approchant. J'espère que l'équipe Gimp va travailler avec Adobe pour éviter que ça n'arrive.

    Les précédents (code provenant d'Unix dans le noyau Linux, code provenant de Java dans Android) ont causé des procès dont on parle encore...
    le 30/10/2013 à 11:46
  • tomlev
    Rédacteur/Modérateur
    Envoyé par tontonnux
    En même temps, Adobe est la sécurité...
    C'est fou comme une petite faute d'orthographe peut complètement changer le sens d'une phrase
    le 05/11/2013 à 14:58
  • azmar
    Membre averti
    La somme du top 20 fait +/- 4.25 M

    Sois quasi une chance sur 9 de trouver un mot de passe avec un dictionnaire de 20 possibilité....

    C'est.... Flippant

    Azmar
    le 05/11/2013 à 13:41
  • cd090580
    Membre averti
    En même temps c'est un peu normal, adobe impose la création d'un compte même pour télécharger une trial et donc plein d'utilisateurs créent des comptes bidons juste pour télécharger le fichier d'installation
    le 05/11/2013 à 13:51
  • tontonnux
    Membre expérimenté
    Envoyé par niarkyzator
    Microsoft et Apple main dans la main, c'est beau ! Prenons en de la graine !
    Euh... c'est la porte à côté la réunion "Android se fait encore taper".
    le 05/11/2013 à 16:07
  • Kearz
    Membre expert
    Etant donné que c'est hors-sujet et provocateur, je ne vois pas ce que ça peut être d'autre qu'un troll.
    La première phrase à pour but de répondre à:
    supposer que le code de Photoshop soit propre
    La seconde, bien qu'un petit peu provocatrice et évoquant ma pensé (c'est mal de dire ce qu'on pense?):


    ce qui serait tip top c'est de voir un fork de ces logiciels passer sous licence libre.

    &&

    Je n'ose pas imaginer ce qui se passerait si un petit malin commençait à glisser du code de Photoshop dans Gimp, ou un truc approchant.


    C'était pour dire que ce vol n'est pas anodin puisque photoshop est le leader et possède des fonctions que n'ont pas les autres, d'où le terme "retard". Et que donc, même si le code n'est pas propre, c'est la porte ouverte à la copie. Ces copies pourraient rattraper leur retard et faire basculer une entreprise complète en livrant des produits gratuit-moins cher.
    Photoshop est un des produit phare d'Adobe, sans PhotoShop ou un PhotoShop affaiblit c'est le CA d'Adobe (et donc les employés) qui vont en prendre un coup. C'est pas comme si on avait volé le code d'un produit moins utilisé type lightRoom.

    J'aurais pas du citer Gimp ici, c'est risqué, j'aurais peut-être du mettre Paint.Net and co ou PhotoFilter and co. Je suis sur que bizarrement j'aurais pas eu la même réflexion.

    Ps: Selon moi tous ses logiciels (soyons global ) sont d'un niveau inférieur ou égal à PhotoShop Cs2 (le premier que j'ai utilisé) donc selon moi ils ont 8 ans de retard. Donc j'ai peut-être exagéré en disant 10 et bien sûr c'est une affaire de goût. C'est comme Eclipse VS netbeans, Android VS iOS, chacun ses goût.
    le 31/10/2013 à 9:46
  • imikado
    Rédacteur
    Oui le problème c'est surtout de ne pas hasher ces mots de passe

    Je suis toujours étonné/éffrayé quand je m'inscrit sur certains sites ou que le clique sur mot de passe oublié de recevoir celui-ci
    le 06/11/2013 à 11:20
  • Paul TOTH
    Expert éminent sénior
    Envoyé par voltrone
    passer du code volé sous licence libre sous prétexte qu'on va permettre aux utilisateurs d'avoir un logiciel de meilleur qualité, je trouve ça juste dégelasse, on a tendance a vite pardonner le piratage et le vol quand c'est une très grosse entreprise qui est la victime.
    a supposer que le code de Photoshop soit propre
    le 30/10/2013 à 15:57
  Poster une réponse