Maux de passe : Adobe fait jouer aux dominos

Les principaux administrateurs de réseaux sociaux sont dans leurs petits souliers. Après la fuite d’identité d’Adobe la semaine passée (une « paille » de 153 millions d’identités) et en vertu du principe général que 80 % des internautes emploient un même jeu d’identifiant/mot de passe pour l’ensemble de leurs services en ligne, beaucoup tablent sur une vague d’usurpation de comptes sans précédent. Facebook en tête, tous demandent à leurs abonnés de changer leur sésame le plus rapidement possible, surtout après qu’ait été révélée l’extrême légèreté avec laquelle Adobe avait archivé les inscriptions de ses clients. Paul Dunkin, de Sophos, a d’ailleurs rédigé à ce sujet un article fort clair : identifiant de l’usager sous format lisible (50% de la sécurité de connexion est déjà compromise), indice de récupération de mot de passe en clair, nom d’utilisateur (en clair, toujours), adresse email, mot de passe chiffré (et non seulement le hachage/salage)… Deux mots de passe identiques fournis par deux personnes différentes ont pour résultat, dans ce cas, la même chaîne hexadécimale. Si l’on ajoute à ceci le fait que l’algorithme utilisé serait, selon les experts de Sophos, un vieil RC4, on peut estimer que la course aux « accès gratuits » est ouverte dans tous les centres de cracking, du Tonkin jusqu’en Chine …