Piratage d'Adobe : la liste aberrante des mots de passe des utilisateurs
Plus de 1,9 million de comptes utilisent « 123456 » comme mot de passe
Le 2013-11-05 13:07:13, par Hinault Romaric, Responsable .NET
En fin du mois dernier, Adobe confirmait avoir subi une cyberattaque d’envergure, ayant entrainé le vol du code source de ses applications Photoshop, Adobe Acrobat, ColdFusion, et la compromission de 38 millions de comptes utilisateurs.
Un nouveau rapport vient de jeter un autre pavé dans la mare. L’éditeur ne respecterait pas les meilleures pratiques en matière de sécurité des mots de passe.
Des chercheurs en sécurité l’ont découvert, puis la société l’a confirmé : les mots de passe qui avaient été dérobés ont été chiffrés, au lieu d’être hachés par un système de hashing salé, comme le recommandent les meilleures pratiques en matière de sécurité.
En utilisant une méthode de chiffrement asymétrique standard, la découverte de la clé de chiffrement entraine l’accès à l’ensemble des mots de passe de la base de données d’Adobe.
Jeremi Gosney, un chercheur en sécurité de Stricture Consulting Group, a réussi à casser les mots de passe des comptes utilisateurs d’Adobe, et révèle une liste aberrante des 100 mots de passe les plus utilisés.
Selon la liste, près de 1,9 million de comptes ont utilisé « 123456 » comme mots de passe, plus de 440 000 ont opté pour « 123456789 ». Le top 5 est complété par les mots de passe « password », « adobe123 » et « 12345678 ».
Source : Stricture Consulting Group
Un nouveau rapport vient de jeter un autre pavé dans la mare. L’éditeur ne respecterait pas les meilleures pratiques en matière de sécurité des mots de passe.
Des chercheurs en sécurité l’ont découvert, puis la société l’a confirmé : les mots de passe qui avaient été dérobés ont été chiffrés, au lieu d’être hachés par un système de hashing salé, comme le recommandent les meilleures pratiques en matière de sécurité.
En utilisant une méthode de chiffrement asymétrique standard, la découverte de la clé de chiffrement entraine l’accès à l’ensemble des mots de passe de la base de données d’Adobe.
Jeremi Gosney, un chercheur en sécurité de Stricture Consulting Group, a réussi à casser les mots de passe des comptes utilisateurs d’Adobe, et révèle une liste aberrante des 100 mots de passe les plus utilisés.
Selon la liste, près de 1,9 million de comptes ont utilisé « 123456 » comme mots de passe, plus de 440 000 ont opté pour « 123456789 ». Le top 5 est complété par les mots de passe « password », « adobe123 » et « 12345678 ».
Source : Stricture Consulting Group
-
tontonnuxMembre expérimentéEn même temps, Adobe
estet la sécurité...
Ajoutons tout de même un bémol à tout ça. Adobe a rendu obligatoire l'utilisation d'un compte pour pouvoir récupérer des démos... Je pense que beaucoup de comptes Adobe n'avaient en réalité pas plus de valeur qu'une adresse @yopmail.com (en tout cas, c'était le cas du compte que j'avais créé à l'époque). Donc que certains utilisateurs aient choisi de ne pas se prendre la tête pour ce compte n'est pas très étonnant.le 05/11/2013 à 13:38 -
tomlevRédacteur/ModérateurC'est fou comme une petite faute d'orthographe peut complètement changer le sens d'une phrasele 05/11/2013 à 14:58
-
azmarMembre avertiLa somme du top 20 fait +/- 4.25 M
Sois quasi une chance sur 9 de trouver un mot de passe avec un dictionnaire de 20 possibilité....
C'est.... Flippant
Azmarle 05/11/2013 à 13:41 -
cd090580Membre avertiEn même temps c'est un peu normal, adobe impose la création d'un compte même pour télécharger une trial et donc plein d'utilisateurs créent des comptes bidons juste pour télécharger le fichier d'installationle 05/11/2013 à 13:51
-
tontonnuxMembre expérimentéle 05/11/2013 à 16:07
-
imikadoRédacteurOui le problème c'est surtout de ne pas hasher ces mots de passe
Je suis toujours étonné/éffrayé quand je m'inscrit sur certains sites ou que le clique sur mot de passe oublié de recevoir celui-cile 06/11/2013 à 11:20 -
TNT89Membre confirméle 05/11/2013 à 16:53
-
MacDevMembre régulierOk. Merci des explications car je n'avais pas bien saisi le sens de ton intervention. C'est vrai lorsqu'on s'inscrit sur des sites non sécurisé il y a de quoi à s’inquiéter.le 08/11/2013 à 11:15
-
tontonnuxMembre expérimentéle 05/11/2013 à 15:08
-
TNT89Membre confirméEuh, 131K de QWERTY et 49K de AZERTY? Éclairez ma lanterne, mais il me semble qu'il n'y a que des pays francophones avec ce type de layout?
Alors soit il y a beaucoup d'utilisateurs de la suite parmi nous, soit une grosse majorité des francophones choisissent leur password le plus simplement du monde...le 05/11/2013 à 15:55