Pris à son tour dans la nasse des pirates informatiques, Adobe se déclarait, début octobre, victime d’une intrusion dans ses serveurs.
L’éditeur déplorait alors des dommages collatéraux sur 2,9 millions de clients.
Quelques semaines plus tard, le bilan est revu à la hausse : cette attaque, qui a également compromis le code source de plusieurs logiciels, aurait finalement exposé les données personnelles liées à 38 millions de comptes d’utilisateurs.
Le butin, lui, n’a pas changé, avec notamment des noms, des identifiants, des mots de passe chiffrés et de numéros de carte de crédit/débit (chiffrés eux aussi).
Resté jusqu’alors assez discret sur la question des logiciels, Adobe a également reconnu qu’une partie du code source de Photoshop a été dérobée.
Acrobat, ColdFusion et ColdFusion Builder figurent aussi au tableau des victimes.
Un chercheur en sécurité en a d’ailleurs récemment retrouvé des traces sur un serveur servant de point de stockage pour des hackers russophones… et déjà utilisé pour héberger des données volées à trois grands cabinets d’études américains : LexisNexis, Dunn & Bradstreet et Kroll Background America.
Adobe ne fournit pas plus de renseignements quant à la nature des failles exploitées, ni quant à la technique d’assaut, mais il s’agit probablement d’une injection SQL visant les bases de données de la société.
Sur la question des cartes bancaires, tout accès non autorisé à des informations stockées en clair est exclu.
En outre, selon la porte-parole Heather Edell, qui s’est confiée à Reuters, « une proportion non négligeable » des identifiants Adobe ID exfiltrés sont inactifs, voire invalides.
En fonction des algorithmes de cryptage, les pirates pourraient tout de même avoir eu accès à des informations sensibles. Tout particulièrement si aucun salage (insertion de caractères aléatoires) n’était appliqué en complément au hachage.
Les investigations se poursuivent en collaboration avec la justice américaine. Plusieurs mesures ont déjà été prises pour répondre à cet incident.
Les mots de passe de comptes affectés sont désormais réinitialisés. Les utilisateurs concernés en ont été avertis par mail.
Ceux dont les données bancaires ont été subtilisées ont reçu un courrier sur lequel figurent des instructions destinées à limiter les risques éventuels.
Les banques en sont notifiées et invitées à collaborer avec les émetteurs de cartes pour résoudre les problèmes qu’elles pourraient rencontrer.
—— A voir aussi ——
Quiz ITespresso.fr : que savez-vous de la sécurité sur Internet ?
Crédit illustration : Lightspring – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…