Adobe : Des hackers s’emparent des données de 2,9 millions de clients

Dans un courrier envoyé ce jour par Adobe à plusieurs millions de clients (dont l’auteur de cet article, qui utilise certains de ses outils online), l’éditeur informe que des pirates se sont illégalement introduits dans son réseau et qu’ « il est possible que ces derniers aient eu accès à votre identifiant et à votre mot de passe chiffré Adobe (…). Si vous avez déjà passé commande sur notre site, votre nom, votre numéro de carte de crédit chiffré et sa date d'expiration sont susceptibles d'avoir été piratés » ajoute l’éditeur avant de préciser qu’il pense qu'aucun numéro de carte déchiffré n'a été récupéré sur ses systèmes.

Le courrier envoyépar Adobe à ses clients

Adobe explique avoir réinitialisé les mots de passes de ses clients et les invite à se rendre sur son site pour créer un nouveau mot de passe. L’éditeur demande à ses clients de vérifier qu'aucun incident (fraude ou usurpation d'identité) ne s'est produit sur leur compte et de garder un œil sur leurs relevés de comptes et débits. Il ajoute qu’il adressera à ses clients un courrier leur fournissant davantage d'informations sur cet incident.
2,9 millions de clients Adobe auraient ainsi vu leurs données s’évaporer dans la nature selon Brad Arkin, le directeur de la sécurité de l’éditeur. Dans un billet de blog, ce dernier fournit quelques précisions sur la nature des données évaporées et sur les mesures prises par l’éditeur pour tenter de limiter la casse (dont l’abonnement à un service surveillance pour les clients concernés dans les pays où ce type de service existe – la France n’en fait visiblement pas parti).
Bref, Adobe a perdu les données de ses clients, s’en excuse et leur demande désormais de surveiller de près leurs relevés de cartes bancaires, ce qui paraît une approche bien légère.

Il faut dire que l’éditeur à un autre gros problème sur les bras. Les hackers, non contents de s’en prendre aux données des clients sont aussi repartis avec le code source de plusieurs applications maison (dont Adobe Acrobat, ColdFusion, ColdFusion Builder et d’autres produits non précisés), c’est-à-dire avec ce qu’Adobe a de plus précieux. L’accès à ce code pourrait permettre à des attaquants de dénicher des failles potentielles dans les applications Adobe et d’en tirer parti pour de futures attaques. 

Cette nouvelle attaque sur l'un des géants du logiciel met une nouvelle fois en lumière les périls liés au cloud et à la non maîtrise des éléments d'authentification et de paiement des utilisateurs. Elle fragilise encore un peu plus la confiance déjà fragile des utilisateurs, non pas dans les applications elles-mêmes, mais dans le sérieux de ceux qui les opèrent. 

Elle met aussi en lumière la cruelle fragilité de ces acteurs. Dépouillé, Adobe n'a dautre solutin que de s'excuser auprès de ses clients  - un strict minimum sachant qu'il vient d'égarer les informations personnelles et les données bancaires de plusieurs millions d'entre eux - et d'espérer qu'ils ne lui en tiendront pas rigueur.  Il n'a aussi d'autre choix que de promettre qu'on ne l'y reprendra pas... Jusqu'à la prochaine fois.