samedi 25 mai 2019    Inscription

News

 

 

Dernières News à la Une :

Par Louis Adam le 11/12/2013 Article Rating
Ce ne sont pas 3 millions, ni même 38 millions de comptes Adobe qui ont été piratés, mais bien 150 millions ! Et nous en savons désormais plus sur la méthode employée par les pirates. Explications.

En octobre dernier, Adobe avançait le chiffre de 2,9 millions de comptes piratés par les auteurs de l’attaque. Quelques jours plus tard, l’entreprise revoyait le bilan à la hausse et avançait le chiffre à 38 millions. Un chiffre largement contesté par les experts en sécurité : selon la société LastPass, ce seraient en réalité 150 millions d’informations de comptes qui voyageraient dans la nature suite à ce piratage. Pour l’instant, le chiffre exact reste donc sujet à débat mais une chose est certaine : l’ampleur du piratage est particulièrement inquiétante. Mais ce n’est pas le seul point polémique.

Les mots de passes dérobés venaient d’une base de données de secours hébergée sur les serveurs d’Adobe. L’entreprise n’a fait aucune déclaration sur la technique de chiffrement employée pour les mots de passe volés, mais les premières informations disponibles sur le web à ce sujet font frémir. Il semblerait que l’algorithme utilisé ait été le Triple DES, un algorithme de chiffrement datant de 1999.

 

 

La sécurité pêche mais le chiffrement aussi

Pour comprendre un peu les implications de ce choix, il faut revenir sur les bases de la cryptographie. Les mots de passes hébergés sur les serveurs des sites de commerce en ligne ne sont jamais (enfin dans l’idéal) stockés en clair, mais sous forme de hash. Le hash est une empreinte : lorsqu’on chiffre un mot de passe, l’algorithme va prendre le mot et lui appliquer toute une série d’opérations mathématiques pour en faire au final un hash, une longue suite de caractères incompréhensibles pour un humain, mais qui sera associée au mot de passe et permettra l'accès à l’utilisateur. 

Ce sont ces hash, entre autres données, qui ont été dérobés par les pirates. Si Adobe avait utilisé des techniques de chiffrement fortes, retrouver les mots de passe en clair aurait pu donner du fil à retordre aux pirates. Malheureusement, il semble que cela ne soit pas le cas.


 

L’algorithme utilisé possède plusieurs caractéristiques qui le rendent très vulnérable. D’une part, à partir d’un hash, on peut facilement évaluer le nombre de caractères utilisés par le mot de passe en clair. D’autre part, deux mots de passe identiques donneront systématiquement le même hash, un problème que d’autres systèmes de cryptographie ont comblé depuis longtemps. Enfin dernier problème et pas des moindres, les pirates ont également réussi à dérober les indices laissés par les utilisateurs en cas d’oubli de mot de passe. 

Ces 3 aspects pourraient être anodins, mais en cryptographie le diable est dans les détails. Comme l’a fait remarquer Randall Munroe, auteur du webcomic XKCD, ces trois faiblesses font des mots de passe piratés le plus grand mots-croisés du monde. Vous connaissez la taille du mot de passe en clair, vous pouvez ranger les mots de passes par hash similaires et donc regrouper les mots de passes similaires et, en vous appuyant sur les indices, il devient trivial de retrouver le mot de passe de l’utilisateur.

 

Un exemple concret

Si les explications techniques vous embrouillent, alors un exemple vaut mieux que mille discours. Un ingénieur anglais a pris au pied de la lettre la théorie développée par Randall Munroe et réalisé un véritable mots-croisés en se basant sur les hash volés à Adobe. La constatation est simple : retrouver les mots de passe est d’une facilité désarmante, même pour un simple humain. Sachant que des programmes extrêmement puissants sont dédiés au cassage des mots de passe, il est facile de comprendre que les pirates n’ont pas dû avoir trop de mal pour déchiffrer la plupart des hash dérobés. La morale de cette histoire ? Vous devriez changer vos mots de passe si vous avez utilisé l’un d’entre eux pour un service Adobe. 

On ne sait toujours pas aujourd’hui l’ampleur exacte du piratage, ni la fiabilité des techniques de chiffrement d’Adobe. Mais les rares informations incitent à la plus grande prudence. Comme le résume Randall Munroe dans son comic, ceux qui s’en tirent le mieux restent ceux qui ont piraté Photoshop et n’ont jamais donné leur mot de passe à Adobe.



Notations 

Autres news Web, Logiciel, Business
     20/03/2017 10:09:00 Des fichiers JPEG compressés jusqu'à 35% avec Google Guetzli
     06/07/2016 10:40:00 Huawei : une photo prise avec le P9 ? Non avec un 5D Mark II...
     06/07/2016 10:35:00 Les nouveautés de la Creative Cloud d'Adobe
     05/02/2016 15:52:00 Kang, un nouveau moyen de proposer ses services pour les gra...
     02/12/2015 11:51:00 Adobe change le nom de Flash par Animate
     03/09/2015 17:13:00 La mort d’Aylan… en dessins
     30/07/2015 12:57:00 Une police OpenType qui censure automatiquement certains mot...
     30/07/2015 12:55:00 17 000 heures de vidéos d’archive accessibles sur Youtube
     29/07/2015 10:33:00 Nokia dévoile OZO, une caméra pour la réalité virtuelle
     23/06/2015 16:36:00 Hololens : la réalité virtuelle en cubes
     23/06/2015 16:09:00 Stock, la banque d'images par Adobe
     23/06/2015 15:36:00 Droit d'auteur : le rapport Reda validé en commission
     22/05/2015 11:06:00 Le direct à 60fps arrive sur Youtube
     22/05/2015 09:54:00 Sprout fera-t-il pschit ?
     07/04/2015 17:27:00 L’impression 3D bientôt soumise à la redevance sur la copie ...
     02/04/2015 11:43:00 Levée de fonds : 5 millions pour Sculpteo et son Usine « en ...
     24/03/2015 11:54:00 Le moteur de rendu 3D Renderman de Pixar est gratuit
     21/01/2015 11:48:00 FoldIO, le studio photo transportable pour smartphones !
     09/01/2015 14:04:00 #jesuisCharlie : Joachim Roncin, directeur artistique et cré...
     09/01/2015 12:12:00 Impression 3D : MakerBot promet le bois, la pierre et le mét...

Les dossiers de Créanum

Gameplay émergent : l’avenir du jeu vidéo ?
Par Guillaume Perissat le 07/03/2014
Un concept agite le monde du développement. Il bouleverse les systèmes de règles établis et donne une grande liberté au joueur. Dites adieu à la narration, à la linéarité et aux scripts : le gameplay émergent arrive… ou demeurera une utopie. 

[Lire le dossier...]

Autres dossiers Jeu
Crowdfunding : le financement participatif, une solution pour les graphistes ?
Par Louis Adam le 28/07/2014

Ulule, Kickstarter, KissKiss Bankbank : au cours des dernières années, les plateformes de financement participatif (ou crowdfunding en anglais) ont vu leur popularité croître au fil des projets qui se finançaient grâce à ce procédé nouveau. Inspiré des principes du microcredit, ces systèmes permettent de lever des fonds pour un projet ou une entreprises sans forcement passer par le système bancaire. Une aubaine pour les créatifs, mais il convient avant tout de savoir ou l’on met les pieds et ce qu’un tel projet représente. Contrairement à l’impression que ces plateformes peuvent donner au premier abord, il ne suffit pas de « vendre du rêve » sur une page Web pour pouvoir soudainement réaliser ses rêves les plus fous. Un projet de financement participatif se prépare et s’organise.

[Lire le dossier...]

Autres dossiers Web
Google, Adobe... la typographie en danger ?
Par Louis Adam le 12/09/2013
Le tournant du numérique n’a rien de neuf dans le monde de la typographie. Depuis les débuts de l’informatique, la question des polices a toujours été prise en compte, même si rarement sur le devant de la scène. Les années 90 ont vu l’arrivée de nouveaux acteurs tels qu’Adobe qui sont venus redéfinir les règles du marché, en proposant à tous ses utilisateurs des polices de qualité telles que Garamond. Mais face à des entreprises telles que Google qui met à disposition, à travers son service Google Font, un nombre incalculable de polices en libre utilisation, comment les fonderies numériques qui investissent et vivent de la création typographique peuvent-elles survivre ?

[Lire le dossier...]

Autres dossiers 2D, Web
Coloriste : une profession qui en voit de toutes les couleurs
Par Louis Adam le 30/08/2013

 Le coloriste est une profession souvent méconnue dans le monde de la bande dessinée, mais n’en reste pas moins un incontournable dans beaucoup de projets de bande dessinée. Choisi par la maison d’édition ou suggéré par l’auteur avec qui il doit être capable de s’entendre, le coloriste reste souvent dans l’ombre, mais son travail est déterminant. A mi chemin entre les auteurs, les maisons d'éditions et les imprimeurs, son métier lui demande des compétences nombreuses qu'il doit la plupart du temps apprendre par lui-même. Nous avons interrogé deux coloristes sur leur métier, l’évolution des pratiques et les problèmes qu’ils rencontrent au quotidien. 

[Lire le dossier...]

Autres dossiers 2D
Nouvelles plateformes de diffusion : pour les artistes, quelles solutions ?
Par Louis Adam le 25/07/2013
Il y a deux semaines, le chanteur Thom Yorke expliquait sur son compte Twitter qu’il cessait de diffuser sa musique via Spotify. La raison de son coup de gueule est assez simple : selon lui, les services de streaming comme Spotify et Deezer ne rémunèrent pas suffisamment les artistes qu’ils diffusent. Un détail pour les stars reconnues et largement écoutés, mais Thom Yorke s’inquiète surtout des problèmes que ce système engendre pour les petits artistes qui ne disposent pas d’une audience importante. Les plateformes de diffusion se sont multipliées ces dernières années, offrant aux musiciens la possibilité de diffuser eux-mêmes leurs albums et chansons sans avoir à se reposer sur l’industrie musicale traditionnelle. Mais que doit-on espérer de ces nouveaux moyens de diffusion, que certains n’hésitent plus à présenter comme le seul recours d’une industrie en perte de vitesse face aux transformations imposées par l’arrivée du numérique ? Nous avons recueilli quelques témoignages d’artistes utilisant ces plateformes pour diffuser leur musique.

[Lire le dossier...]

Autres dossiers Musique, Web

News