À quel point les 100 principaux mots de passe du hack Adobe sont-ils mauvais? (Indice: pensez vraiment, vraiment mal)

Il est bien connu que les gens choisissent souvent des mots de passe faciles à retenir mais faciles à déchiffrer pour protéger leurs comptes. Grâce au travail d'un expert en mots de passe, on pense désormais que des millions de clients Adobe faisaient également partie de ceux qui aimaient les mots de passe terribles.

Adobe a récemment révélé que la faille de sécurité qui a affecté l'entreprise le mois dernier s'est avérée avoir impliqué au au moins 38 millions d'identifiants Adobe et de mots de passe cryptés, plûtot que le 2,9 millions, la société avait initialement déclaré.

Mais le chiffre de 38 millions ne concernait que les comptes actifs. En plus du code source de produits tels que ColdFusion, les pirates ont volé et publié un fichier contenant plus de plus de millions d'enregistrements d'utilisateurs pour les comptes inactifs et actifs, dont plus de 130 millions cryptés mots de passe.

Bien qu'Adobe ait déclaré que les mots de passe étaient cryptés, il semble que la manière dont Adobe l'a fait n'a pas suffi à empêcher les experts en mots de passe et fondateur de la société de sécurité Stricture Consulting Group, Jeremi Gosney, de les dériver pour révéler les mots de passe les plus couramment utilisés, lequel il a publié ce week-end, couvrant environ six millions, soit un peu moins de cinq pour cent de la liste de 130 millions de mots de passe. (Comment il les a obtenus est expliqué ci-dessous.) 

Le mot de passe le plus populaire, utilisé par près de deux millions de clients Adobe, est « 123456 ». Il n’y a cependant pas de surprises; la fuite Yahoo de 450 000 mots de passe l'année dernière, et d'autres violations similaires, ont également révélé le même mot de passe comme favori des utilisateurs.

Les autres du top 10 d’Adobe sont tout aussi médiocres. Le deuxième plus populaire était « 123456789 », utilisé pour 446 162 comptes, suivi du « mot de passe » commun à 345 843 comptes, « adobe123 ». utilisé dans 211 659 comptes, "12345678" utilisé pour 201 580 comptes, suivi de "qwerty", "1234567", "111111", "photoshop" et "123123".

Gosney note que puisqu'il ne dispose pas de la clé utilisée par Adobe pour chiffrer les mots de passe de 130 324 429 utilisateurs – et qu'Adobe bloque toujours l'accès à ses services. jusqu'à ce que les propriétaires réinitialisent leurs mots de passe – il est impossible de dire avec certitude que la liste est entièrement exacte, mais il se dit néanmoins « assez confiant » quant à son contenu. précision.

Gosney a confirmé que la source de l'analyse était qu'un fichier contenant les mots de passe avait été divulgué sur Anonnews la semaine dernière. Alors, comment tout cela était-il possible? Voici ce qu'il a dit à ZDNet :

Vous voyez, les mots de passe de cette fuite sont tous cryptés avec la même clé. Sans cette clé, nous ne pouvons pas déchiffrer un seul mot de passe. Mais dès que nous avons cette clé, nous pouvons tous les pirater instantanément. Donc, pour cette fuite particulière, nous n'essayons pas de déchiffrer des mots de passe individuels, nous essayons de déchiffrer la clé de cryptage.

Adobe a chiffré les mots de passe avec 3DES en mode ECB. 3DES lui-même n'est pas un chiffre terrible, selon l'option de clé utilisée. Mais le mode BCE est vraiment mauvais, car il laisse fuir des informations sur ce qui a été crypté. Fondamentalement, le mode ECB fonctionne en divisant un message en blocs, puis en chiffrant chaque bloc individuellement. Cela signifie que le même bloc de texte en clair entraînera toujours le même bloc de texte chiffré lorsqu'il est chiffré avec la même clé.

L'analyse des modèles dans le texte chiffré ainsi que des paires texte clair-texte chiffré connues vous permet d'apprendre de nombreuses informations sur les données chiffrées. Dans ce cas, nous disposions de nombreuses paires de texte clair-texte chiffré connues, car de nombreuses personnes ont été affectées par cette violation, moi y compris.

La liste des 100 meilleurs que nous avons publiée était basée uniquement sur une analyse manuelle des textes chiffrés, combinée à une analyse manuelle des indices de mot de passe fournis par l'utilisateur pour chaque mot de passe. Cela nous a permis de faire des suppositions très éclairées sur ce que pourrait être chacun des mots de passe, mais nous ne le saurons pas avec certitude tant que la clé de cryptage n'aura pas été récupérée.

Les indices de mot de passe étaient les plus révélateurs. Un nombre écrasant de personnes ont pris le concept d’indice de mot de passe trop littéralement et ont carrément fourni le mot de passe lui-même comme indice. En analysant des milliers d'indices de mot de passe par texte chiffré et en faisant correspondre ces informations avec ce que nous savons sur le texte chiffré grâce au mode ECB, nous sommes capables de déterminer un certain nombre de mots de passe avec un degré raisonnable de certitude. Il a fallu environ trois heures pour déterminer quels étaient les 100 principaux mots de passe avec cette méthode.

Certains concluront que le mode ECB a évidemment été la cause de la chute d'Adobe, mais le véritable problème est que les mots de passe n'auraient jamais dû être cryptés en premier lieu. Ils auraient dû être hachés, en utilisant une fonction de hachage de mot de passe appropriée. Il semble cependant qu'Adobe soit en train de remédier à ce problème, car ils déclarent que leur nouvelle solution utilise plus de mille itérations de SHA-256 salé.

Pour sa part, Adobe a déclaré que le système d'authentification concerné par la violation était plus ancien et devait être retiré.

"Depuis plus d'un an, le système d'authentification d'Adobe hache cryptographiquement les mots de passe des clients. en utilisant l'algorithme SHA-256, y compris le salage des mots de passe et l'itération du hachage sur plus d'un millier fois. Ce système n’a pas fait l’objet de l’attaque que nous avons rendue publique le 3 octobre 2013. Le système d'authentification impliqué dans l'attaque était un système de secours et devait être mis hors service. Le système impliqué dans l'attaque a utilisé le cryptage Triple DES pour protéger toutes les informations de mot de passe stockées. Nous n'avons actuellement aucune indication d'activité non autorisée sur un compte Adobe ID impliqué dans l'incident", a-t-il déclaré dans un communiqué.

La société n'a ni confirmé ni nié si le nombre total de mots de passe cryptés, y compris ceux des comptes inactifs, s'élevait à 130 millions.

"Nous sommes toujours en train d'enquêter sur le nombre de comptes inactifs, invalides et tests impliqués dans l'incident", a indiqué la société.

Après avoir détecté la faille, la campagne de nettoyage est en cours – et ce n'est pas une tâche facile, selon Gosney.

« J'ai parlé à beaucoup de personnes qui ont déclaré avoir reçu un e-mail de notification de violation/réinitialisation de mot de passe d'Adobe, mais qui pensaient qu'il s'agissait d'un e-mail de phishing et l'ont ignoré. J'ai dû rire un peu, car nous avons conditionné les utilisateurs à ne jamais cliquer sur les liens contenus dans les e-mails non sollicités. C'est bien que les gens commencent à s'informer sur le phishing, mais il est regrettable que tant de gens ignorent ces e-mails car cela signifie qu'ils ne mettent pas à jour leurs mots de passe. Cela n'a pas beaucoup d'importance pour leur compte Adobe, puisqu'ils ont déjà verrouillé les comptes de tout le monde et obligent les gens à réinitialiser leurs mots de passe. Mais c'est un gros problème pour les personnes qui réutilisent leurs mots de passe sur d'autres sites Web, notamment leur courrier électronique et leurs comptes bancaires", a-t-il déclaré.

Lectures complémentaires

• Un bon mot de passe peut toujours l'emporter sur une sécurité sommaire
• Le briseur de mot de passe s'attaque avec succès à 55 séquences de caractères
• Tous vos mots de passe nous appartiennent