Le piratage d'Adobe finalement plus important que prévu : 150 millions de comptes concernés

Il y a quelques semaines, Adobe annonçait avoir été victime d'une attaque ayant permis à un groupe de hackers de mettre la main sur 3 millions de comptes d'utilisateur. Un chiffre rapidement revu à la hausse à 38 millions, qui s'aggrave une nouvelle fois.
Alors que depuis ce début de semaine, les mots de passe des comptes subtilisés sur les serveurs d'Adobe s'affichent sur la toile, l'ampleur de l'attaque est progressivement revue à la hausse.
Si Adobe parlait dans un premier temps d'une brèche ayant permis à des personnes externes à la société de mettre la main sur 3 millions de comptes, une première réévaluation portait ce chiffre à 38 millions.
Jeremi Gosney, de Stricture Group indiquait quant à lui avoir étudié les données partagées par les hackers et revu l'estimation à 130 millions de comptes. Un chiffre démenti par Adobe, mais qui vient d'être confirmé sur le blog Naked Security de Sophos.
Un fichier compressé, le "butin" des hackers serait désormais accessible sur quelques websites fréquentés par des cybercriminels. Une archive de 10 GB qui après analyse, contiendrait des données personnelles concernant plus de 150 millions de comptes d'utilisateurs d'Adobe.
L'analyse a également permis de pointer du doigt quelques techniques jugées trop légères, voire douteuses de chiffrement du côté d'Adobe.
De son côté, Adobe a fini par se repositionner pour accepter de parler d'une brèche engageant 38 millions d'utilisateurs, le choix du moindre mal compte tenu des 150 millions désormais avancés. La société avait presque immédiatement engagé un processus de réinitialisation des mots de passe pour protéger les comptes de ses clients.
Enfin, Adobe relativise en indiquant que le groupe de hackers aurait récupéré " une foule d'ID Adobe invalides ou inactifs, des ID avec des mots de passe cryptés, ou des données de comptes de test.", tous ces comptes formeraient ainsi la majorité des 150 millions de comptes compromis avancés par Sophos. La société s'appuie aujourd'hui sur le fait que " Nous n'avons à ce jour aucune indication prouvant d'une activité non autorisée sur un compte d'utilisateur impliqué dans la fuite."
-
Après avoir laissé entendre qu'il ne le ferait pas, Karim Baratov a plaidé coupable aux États-Unis. Pour l'affaire du piratage de Yahoo en 2014, il est le seul à avoir été arrêté.
-
Dans l'affaire du piratage de l'Elysée en 2012 entre les deux tours de la présidentielle, les Etats-Unis avaient été suspectés d'en être à l'origine. L'information a été confirmée par l'ex-directeur technique de la DGSE.
Vos commentaires
Il faudrait une loi qui oblige toutes les sociétés qui propose le stockage des données à faire des audits de sécurité au moins 4 fois par an.
Sans Cloud, concrètement, tu peux "juste" te contenter d'une activation de ton produit et ne pas avoir de données sensibles conservées chez eux (données de création ou persos).
En espérant qu'ils reviennent vers des versions de leur Suite à la vente traditionnelle au lieu de proposer uniquement leur solution Cloud pour leurs sorties futures.
C'est peu de chose que de le dire... Ils ont utilisé une version modifiée d'un algo connu pour être trop vieux (DES) et avec leur grand génie, ils en ont encore affaibli la résistance. Sans compter qu'ils ont joint les "hints" que les utilisateurs avaient rentrés pour retrouver leur mot de passe. Au final, on se retrouve avec des passwords chiffrés par morceaux et avec des milliers de hints d'utilisateurs pour deviner chaque morceau.
En 2 coups de cuiller à pot, on retrouve le mot de passe de Snowden...
http://7habitsofhighlyeffectivehackers.blogspot.fr/2013/11/can-someone-be-targeted-using-adobe.html
Et Adobe d'oser affirmer que sur 150 millions de comptes piratés, il n'y a pas une seule intrusion...
Non seulement ils sont nuls techniquement, mais en plus ils mentent ostensiblement !!!
Me dites pas que, même s'ils ont effectivement envoyé 150 millions de demandes de changement de password (ce que je ne crois aucunement vu qu'ils ont prétendu n'avoir que 10 millions de comptes piratés), il n'y a pas au grand minimum la moitié de gens qui n'ont pas vu le mail (ou l'ont simplement ignoré) et n'ont pas changé leur mot de passe !