Ce ne sont pas 3 millions, ni même 38 millions de comptes Adobe qui ont été piratés, mais bien 150 millions ! Et nous en savons désormais plus sur la méthode employée par les pirates. Explications.
En octobre dernier, Adobe avançait le chiffre de 2,9 millions de comptes piratés par les auteurs de l’attaque. Quelques jours plus tard, l’entreprise revoyait le bilan à la hausse et avançait le chiffre à 38 millions. Un chiffre largement contesté par les experts en sécurité : selon la société LastPass, ce seraient en réalité 150 millions d’informations de comptes qui voyageraient dans la nature suite à ce piratage. Pour l’instant, le chiffre exact reste donc sujet à débat mais une chose est certaine : l’ampleur du piratage est particulièrement inquiétante. Mais ce n’est pas le seul point polémique.
Les mots de passes dérobés venaient d’une base de données de secours hébergée sur les serveurs d’Adobe. L’entreprise n’a fait aucune déclaration sur la technique de chiffrement employée pour les mots de passe volés, mais les premières informations disponibles sur le web à ce sujet font frémir. Il semblerait que l’algorithme utilisé ait été le Triple DES, un algorithme de chiffrement datant de 1999.
La sécurité pêche mais le chiffrement aussi
Pour comprendre un peu les implications de ce choix, il faut revenir sur les bases de la cryptographie. Les mots de passes hébergés sur les serveurs des sites de commerce en ligne ne sont jamais (enfin dans l’idéal) stockés en clair, mais sous forme de hash. Le hash est une empreinte : lorsqu’on chiffre un mot de passe, l’algorithme va prendre le mot et lui appliquer toute une série d’opérations mathématiques pour en faire au final un hash, une longue suite de caractères incompréhensibles pour un humain, mais qui sera associée au mot de passe et permettra l'accès à l’utilisateur.
Ce sont ces hash, entre autres données, qui ont été dérobés par les pirates. Si Adobe avait utilisé des techniques de chiffrement fortes, retrouver les mots de passe en clair aurait pu donner du fil à retordre aux pirates. Malheureusement, il semble que cela ne soit pas le cas.
L’algorithme utilisé possède plusieurs caractéristiques qui le rendent très vulnérable. D’une part, à partir d’un hash, on peut facilement évaluer le nombre de caractères utilisés par le mot de passe en clair. D’autre part, deux mots de passe identiques donneront systématiquement le même hash, un problème que d’autres systèmes de cryptographie ont comblé depuis longtemps. Enfin dernier problème et pas des moindres, les pirates ont également réussi à dérober les indices laissés par les utilisateurs en cas d’oubli de mot de passe.
Ces 3 aspects pourraient être anodins, mais en cryptographie le diable est dans les détails. Comme l’a fait remarquer Randall Munroe, auteur du webcomic XKCD, ces trois faiblesses font des mots de passe piratés le plus grand mots-croisés du monde. Vous connaissez la taille du mot de passe en clair, vous pouvez ranger les mots de passes par hash similaires et donc regrouper les mots de passes similaires et, en vous appuyant sur les indices, il devient trivial de retrouver le mot de passe de l’utilisateur.
Un exemple concret
Si les explications techniques vous embrouillent, alors un exemple vaut mieux que mille discours. Un ingénieur anglais a pris au pied de la lettre la théorie développée par Randall Munroe et réalisé un véritable mots-croisés en se basant sur les hash volés à Adobe. La constatation est simple : retrouver les mots de passe est d’une facilité désarmante, même pour un simple humain. Sachant que des programmes extrêmement puissants sont dédiés au cassage des mots de passe, il est facile de comprendre que les pirates n’ont pas dû avoir trop de mal pour déchiffrer la plupart des hash dérobés. La morale de cette histoire ? Vous devriez changer vos mots de passe si vous avez utilisé l’un d’entre eux pour un service Adobe.
On ne sait toujours pas aujourd’hui l’ampleur exacte du piratage, ni la fiabilité des techniques de chiffrement d’Adobe. Mais les rares informations incitent à la plus grande prudence. Comme le résume Randall Munroe dans son comic, ceux qui s’en tirent le mieux restent ceux qui ont piraté Photoshop et n’ont jamais donné leur mot de passe à Adobe.