Piratage Adobe : le total des comptes impactés porté à 150 millions

LastPass, société spécialisée dans la sécurité informatique, estime à 150 millions le nombre de comptes utilisateurs impactés par le récent piratage des données d’Adobe.

Cette déclaration est faite après la découverte, par la société, d’un fichier renfermant les e-mails, mots de passe cryptés, et indices pour retrouver les mots de passe (le tout en clair) des comptes concernés par le vol de données.

La découverte met ainsi à mal les déclarations faite par Adobe, pas plus tard que la semaine dernière, concernant l’étendue des dégâts.

Selon la firme américaine, les pirates auraient eu accès aux données de « seulement » 38 millions de comptes utilisateurs.

Silicon.fr rappelle en outre que, lors de la découverte de l’affaire (révélée début octobre par le spécialiste de la sécurité IT Brian Krebs), l’éditeur d’Acrobat et Photoshop avait dans un premier temps admis qu’il s’était fait dérober environ  3 millions d’enregistrements de cartes de crédit de clients ainsi que sur le code source de plusieurs produits maison (dont Acrobat, ColdFusion et ColdFusion Builder).

Fin octobre, le même Brian Krebs affirmait avoir retrouvé sur AnonNews.org deux fichiers : l’un renfermant 150 millions de comptes utilisateurs sur divers services de l’éditeur (ce qui semble corroborer la découverte de LastPass), le second semblant contenir le code source de Photoshop, l’un des produits majeurs d’Adobe.

La différence entre les déclarations  d’Adobe et les observations de Brian Krebs ou de LastPass pourrait s’expliquer par la comptabilité de données de comptes d’utilisateurs désormais inactifs.

L’éditeur a en effet confirmé que les données retrouvées par LastPass provenaient bien de ses systèmes, mais a minimisé l’importance de ces informations.

Selon Adobe, elles seraient issues d’une base de données qui devait être décommissionnée tout prochainement.

Le fichier contiendrait ainsi 25 millions d’e-mails inactifs et 18 millions de mots de passe non valides. Et les comptes de nombreux utilisateurs inactifs.

Silicon.fr précise que les comptes d’utilisateurs inactifs demeurent intéressants pour des cyber-criminels, qui peuvent mettre en place des campagnes de phishing (e-mails frauduleux pressant, par exemple, les utilisateurs de mettre à jour leurs données personnelles).

Joe Siegrist, CEO de LastPass interviewé par Reuters, pointe du doigt la responsabilité d’Adobe dans cette affaire en soulignant le fait que l’éditeur de solutions n’a pas pris la peine d’adopter des techniques de  chiffrement basiques.

Selon lui, de telles opérations auraient pu empêcher l’identification des mots de passe les plus fréquemment utilisés par les utilisateurs.

Joe Siegrist précise d’ailleurs que celui qui a été le plus utilisé par les clients d’Adobe concerne près de 1,9 million de personnes.

De son côté, Adobe indique avoir terminé sa campagne d’informations auprès des utilisateurs actifs dont les données d’accès ont été subtilisées, afin de les presser de modifier ces informations.

La firme assure n’avoir pour l’instant repéré aucun accès illicite. Une campagne similaire auprès des utilisateurs inactifs est en cours, a affirmé le porte-parole de l’éditeur à Reuters.

——–Quiz——–

Incollable sur les logiciels Adobe ?