Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Piratage d'Adobe : la liste aberrante des mots de passe des utilisateurs
Plus de 1,9 million de comptes utilisent « 123456 » comme mot de passe

Le , par Hinault Romaric

0PARTAGES

4  0 
En fin du mois dernier, Adobe confirmait avoir subi une cyberattaque d’envergure, ayant entrainé le vol du code source de ses applications Photoshop, Adobe Acrobat, ColdFusion, et la compromission de 38 millions de comptes utilisateurs.

Un nouveau rapport vient de jeter un autre pavé dans la mare. L’éditeur ne respecterait pas les meilleures pratiques en matière de sécurité des mots de passe.

Des chercheurs en sécurité l’ont découvert, puis la société l’a confirmé : les mots de passe qui avaient été dérobés ont été chiffrés, au lieu d’être hachés par un système de hashing salé, comme le recommandent les meilleures pratiques en matière de sécurité.

En utilisant une méthode de chiffrement asymétrique standard, la découverte de la clé de chiffrement entraine l’accès à l’ensemble des mots de passe de la base de données d’Adobe.

Jeremi Gosney, un chercheur en sécurité de Stricture Consulting Group, a réussi à casser les mots de passe des comptes utilisateurs d’Adobe, et révèle une liste aberrante des 100 mots de passe les plus utilisés.

Selon la liste, près de 1,9 million de comptes ont utilisé « 123456 » comme mots de passe, plus de 440 000 ont opté pour « 123456789 ». Le top 5 est complété par les mots de passe « password », « adobe123 » et « 12345678 ».



Source : Stricture Consulting Group

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tontonnux
Membre expérimenté https://www.developpez.com
Le 05/11/2013 à 13:38
Citation Envoyé par Hinault Romaric Voir le message
Des chercheurs en sécurité l’ont découvert, puis la société l’a confirmé : les mots de passe qui avaient été dérobés ont été chiffrés, au lieu d’être hachés par un système de hashing salé, comme le recommande les meilleures pratiques en matière de sécurité.
En même temps, Adobe est et la sécurité...
Citation Envoyé par Hinault Romaric Voir le message
Selon la liste, près de 1,9 millions de comptes ont utilisés « 123456 » comme mots de passe, plus de 440 000 ont opté pour « 123456789 ». Le top 5 est complété par les mots de passe « password », « adobe123 » et « 12345678 ».
Ajoutons tout de même un bémol à tout ça. Adobe a rendu obligatoire l'utilisation d'un compte pour pouvoir récupérer des démos... Je pense que beaucoup de comptes Adobe n'avaient en réalité pas plus de valeur qu'une adresse @yopmail.com (en tout cas, c'était le cas du compte que j'avais créé à l'époque). Donc que certains utilisateurs aient choisi de ne pas se prendre la tête pour ce compte n'est pas très étonnant.
12  1 
Avatar de tomlev
Rédacteur/Modérateur https://www.developpez.com
Le 05/11/2013 à 14:58
Citation Envoyé par tontonnux Voir le message
En même temps, Adobe est la sécurité...
C'est fou comme une petite faute d'orthographe peut complètement changer le sens d'une phrase
10  0 
Avatar de azmar
Membre averti https://www.developpez.com
Le 05/11/2013 à 13:41
La somme du top 20 fait +/- 4.25 M

Sois quasi une chance sur 9 de trouver un mot de passe avec un dictionnaire de 20 possibilité....

C'est.... Flippant

Azmar
6  0 
Avatar de cd090580
Membre actif https://www.developpez.com
Le 05/11/2013 à 13:51
En même temps c'est un peu normal, adobe impose la création d'un compte même pour télécharger une trial et donc plein d'utilisateurs créent des comptes bidons juste pour télécharger le fichier d'installation
6  0 
Avatar de tontonnux
Membre expérimenté https://www.developpez.com
Le 05/11/2013 à 16:07
Citation Envoyé par niarkyzator Voir le message
Microsoft et Apple main dans la main, c'est beau ! Prenons en de la graine !
Euh... c'est la porte à côté la réunion "Android se fait encore taper".
6  0 
Avatar de imikado
Rédacteur https://www.developpez.com
Le 06/11/2013 à 11:20
Oui le problème c'est surtout de ne pas hasher ces mots de passe

Je suis toujours étonné/éffrayé quand je m'inscrit sur certains sites ou que le clique sur mot de passe oublié de recevoir celui-ci
3  0 
Avatar de TNT89
Membre confirmé https://www.developpez.com
Le 05/11/2013 à 16:53
Citation Envoyé par hotcryx Voir le message

Plus c'est long et plus il y a de chance de devoir le copier dans un fichier en clair
Oblig. XKCD
2  0 
Avatar de MacDev
Membre régulier https://www.developpez.com
Le 08/11/2013 à 11:15
Citation Envoyé par imikado Voir le message
@MacDev Dans les bonnes pratiques, on hashe le mot de passe: c'est un algorythme en principe irreversible: le site web stoque cette "empreinte", et ne connait pas votre mot de passe.
Au moment de l'authentification, l'utilisateur saisi son login/mot de passe et l'application hashe celui-ci pour verifier qu'il est présent en base pour ce login

Il n'est donc pas possible en cas de mot de passe oublié de vous l'envoyer puisque (pour des raisons de sécurité) , ils ne stoquent que l'empreinte et non le mot de passe en clair

Ainsi, le fait de recevoir par mail mon mot de passe "en clair" m'indique que le site en question, comme Adobe stoque sont mot de passe soit en clair soit avec un algorythme de "chiffrage" (qui permet l'aller-retour)
Ok. Merci des explications car je n'avais pas bien saisi le sens de ton intervention. C'est vrai lorsqu'on s'inscrit sur des sites non sécurisé il y a de quoi à s’inquiéter.
2  0 
Avatar de tontonnux
Membre expérimenté https://www.developpez.com
Le 05/11/2013 à 15:08
Citation Envoyé par tomlev Voir le message
C'est fou comme une petite faute d'orthographe peut complètement changer le sens d'une phrase
Oh merde ! Elle est belle en effet !
2  1 
Avatar de TNT89
Membre confirmé https://www.developpez.com
Le 05/11/2013 à 15:55
Euh, 131K de QWERTY et 49K de AZERTY? Éclairez ma lanterne, mais il me semble qu'il n'y a que des pays francophones avec ce type de layout?
Alors soit il y a beaucoup d'utilisateurs de la suite parmi nous, soit une grosse majorité des francophones choisissent leur password le plus simplement du monde...
1  0