Developpez.com

Le Club des Développeurs et IT Pro

Piratage d'Adobe : la liste aberrante des mots de passe des utilisateurs

Plus de 1,9 million de comptes utilisent « 123456 » comme mot de passe

Le 2013-11-05 13:07:13, par Hinault Romaric, Responsable .NET
En fin du mois dernier, Adobe confirmait avoir subi une cyberattaque d’envergure, ayant entrainé le vol du code source de ses applications Photoshop, Adobe Acrobat, ColdFusion, et la compromission de 38 millions de comptes utilisateurs.

Un nouveau rapport vient de jeter un autre pavé dans la mare. L’éditeur ne respecterait pas les meilleures pratiques en matière de sécurité des mots de passe.

Des chercheurs en sécurité l’ont découvert, puis la société l’a confirmé : les mots de passe qui avaient été dérobés ont été chiffrés, au lieu d’être hachés par un système de hashing salé, comme le recommandent les meilleures pratiques en matière de sécurité.

En utilisant une méthode de chiffrement asymétrique standard, la découverte de la clé de chiffrement entraine l’accès à l’ensemble des mots de passe de la base de données d’Adobe.

Jeremi Gosney, un chercheur en sécurité de Stricture Consulting Group, a réussi à casser les mots de passe des comptes utilisateurs d’Adobe, et révèle une liste aberrante des 100 mots de passe les plus utilisés.

Selon la liste, près de 1,9 million de comptes ont utilisé « 123456 » comme mots de passe, plus de 440 000 ont opté pour « 123456789 ». Le top 5 est complété par les mots de passe « password », « adobe123 » et « 12345678 ».



Source : Stricture Consulting Group
  Discussion forum
42 commentaires
  • tontonnux
    Membre expérimenté
    Envoyé par Hinault Romaric
    Des chercheurs en sécurité l’ont découvert, puis la société l’a confirmé : les mots de passe qui avaient été dérobés ont été chiffrés, au lieu d’être hachés par un système de hashing salé, comme le recommande les meilleures pratiques en matière de sécurité.
    En même temps, Adobe est et la sécurité...
    Envoyé par Hinault Romaric
    Selon la liste, près de 1,9 millions de comptes ont utilisés « 123456 » comme mots de passe, plus de 440 000 ont opté pour « 123456789 ». Le top 5 est complété par les mots de passe « password », « adobe123 » et « 12345678 ».
    Ajoutons tout de même un bémol à tout ça. Adobe a rendu obligatoire l'utilisation d'un compte pour pouvoir récupérer des démos... Je pense que beaucoup de comptes Adobe n'avaient en réalité pas plus de valeur qu'une adresse @yopmail.com (en tout cas, c'était le cas du compte que j'avais créé à l'époque). Donc que certains utilisateurs aient choisi de ne pas se prendre la tête pour ce compte n'est pas très étonnant.
    le 05/11/2013 à 13:38
  • tomlev
    Rédacteur/Modérateur
    Envoyé par tontonnux
    En même temps, Adobe est la sécurité...
    C'est fou comme une petite faute d'orthographe peut complètement changer le sens d'une phrase
    le 05/11/2013 à 14:58
  • azmar
    Membre averti
    La somme du top 20 fait +/- 4.25 M

    Sois quasi une chance sur 9 de trouver un mot de passe avec un dictionnaire de 20 possibilité....

    C'est.... Flippant

    Azmar
    le 05/11/2013 à 13:41
  • cd090580
    Membre averti
    En même temps c'est un peu normal, adobe impose la création d'un compte même pour télécharger une trial et donc plein d'utilisateurs créent des comptes bidons juste pour télécharger le fichier d'installation
    le 05/11/2013 à 13:51
  • tontonnux
    Membre expérimenté
    Envoyé par niarkyzator
    Microsoft et Apple main dans la main, c'est beau ! Prenons en de la graine !
    Euh... c'est la porte à côté la réunion "Android se fait encore taper".
    le 05/11/2013 à 16:07
  • imikado
    Rédacteur
    Oui le problème c'est surtout de ne pas hasher ces mots de passe

    Je suis toujours étonné/éffrayé quand je m'inscrit sur certains sites ou que le clique sur mot de passe oublié de recevoir celui-ci
    le 06/11/2013 à 11:20
  • TNT89
    Membre confirmé
    Envoyé par hotcryx

    Plus c'est long et plus il y a de chance de devoir le copier dans un fichier en clair
    Oblig. XKCD
    le 05/11/2013 à 16:53
  • MacDev
    Membre régulier
    Envoyé par imikado
    @MacDev Dans les bonnes pratiques, on hashe le mot de passe: c'est un algorythme en principe irreversible: le site web stoque cette "empreinte", et ne connait pas votre mot de passe.
    Au moment de l'authentification, l'utilisateur saisi son login/mot de passe et l'application hashe celui-ci pour verifier qu'il est présent en base pour ce login

    Il n'est donc pas possible en cas de mot de passe oublié de vous l'envoyer puisque (pour des raisons de sécurité) , ils ne stoquent que l'empreinte et non le mot de passe en clair

    Ainsi, le fait de recevoir par mail mon mot de passe "en clair" m'indique que le site en question, comme Adobe stoque sont mot de passe soit en clair soit avec un algorythme de "chiffrage" (qui permet l'aller-retour)
    Ok. Merci des explications car je n'avais pas bien saisi le sens de ton intervention. C'est vrai lorsqu'on s'inscrit sur des sites non sécurisé il y a de quoi à s’inquiéter.
    le 08/11/2013 à 11:15
  • tontonnux
    Membre expérimenté
    Envoyé par tomlev
    C'est fou comme une petite faute d'orthographe peut complètement changer le sens d'une phrase
    Oh merde ! Elle est belle en effet !
    le 05/11/2013 à 15:08
  • TNT89
    Membre confirmé
    Euh, 131K de QWERTY et 49K de AZERTY? Éclairez ma lanterne, mais il me semble qu'il n'y a que des pays francophones avec ce type de layout?
    Alors soit il y a beaucoup d'utilisateurs de la suite parmi nous, soit une grosse majorité des francophones choisissent leur password le plus simplement du monde...
    le 05/11/2013 à 15:55
  Poster une réponse