L’information a été révélée par Comparitech (spécialisé dans la défense du consommateur), sur la base d’informations fournies par le chercheur en sécurité Bob Diachenko.

Ce dernier a découvert que les serveurs d’Adobe laissaient accès à une base de données regroupant les informations de presque 7,5 millions de clients abonnés au Creative Cloud.

Cette base ne contenait apparemment pas les données les plus sensibles, dont les mots de passe et moyens de paiements. Mais on y trouvait les applications utilisées, l’adresse email, l‘identifiant, la formule d’abonnement choisie, le statut en cours du paiement, le pays ou encore l’heure et la date de la dernière connexion.

Dans un communiqué à Gizmodo, Adobe indique avoir été informé le 19 octobre d’une vulnérabilité dans un prototype d’environnement de travail. La brèche a été rapidement refermée et l’éditeur assure qu’aucun de ses services en production n’a été impacté.

Le problème ne concerne cependant pas l’interruption éventuelle d’un service, mais bien l’accès aux données. Car on ne sait pas à l’heure actuelle si des informations ont été dérobées avant que Bob Diachenko ne repère la faille et avertisse Adobe.

Les données présentes dans la base sont largement suffisantes pour créer une campagne de harponnage (spear phishing). La technique consiste pour rappel à créer un email frauduleux très précis, sur la base des renseignements obtenus, pour mieux piéger la victime.

En dépit d’un Adobe se voulant rassurant, il vaut donc mieux pour les clients guetter d’éventuels emails qui inviteraient à effectuer des actions sur le compte via un lien intégré. Il est d’ailleurs recommandé de ne jamais cliquer sur ces liens. Mieux vaut se rendre directement sur le site en question, se connecter et effectuer l’action éventuellement requise.