Adobe piraté, vos données personnelles et bancaires dans la nature : que faire ?

Adobe a annoncé le 3 octobre 2013 avoir subi une cyberattaque sophistiquée impliquant notamment l’accès aux informations personnelles des comptes de 2.9 millions d’utilisateurs. Si vous possédez un compte utilisateur chez Adobe et que ce compte est concerné par l’attaque, vous avez normalement reçu un courrier vous demandant de réinitialiser votre mot de passe et d’en choisir un nouveau. C’est le minimum. Mais que faire d’autre ?

We recently discovered that an attacker illegally entered our network and may have obtained access to your Adobe ID and encrypted password. We currently have no indication that there has been unauthorized activity on your account. […] We recommend that you also change your password on any website where you use the same user ID or password. In addition, please be on the lookout for suspicious email or phone scams seeking your personal information.

Identifiants, noms complets, mots de passe, numéros de cartes (bancaires, de crédit, etc.) et leurs dates d’expiration ont été volés. Certes, ces données étaient chiffrées, selon Adobe, mais cela ne signifie pas qu’elles sont inutilisables. Pour quelqu’un qui a la patience, les outils nécessaires et les connaissances adéquates, cela peut prendre relativement peu de temps. Ne croyez donc surtout pas que vos données volées sont dans un coffre-fort à toute épreuve.

Adobe a contacté les banques qui traitent les transactions concernant ses produits et devraient donc se montrer plus attentives. Si vous aviez effectué des achats auprès d’Adobe sur Internet au moyen d’une carte bancaire ou de crédit associée à votre compte, et si ce dernier a été compromis, vous devriez :

  • soit conserver votre carte bancaire ou de crédit actuelle mais redoubler de vigilance, faire attention à tout mouvement suspect sur vos comptes, voire avertir votre banque ;
  • soit contacter votre banque, lui faire part de la situation et demander une nouvelle carte bancaire ou de crédit après avoir détruit celle qui a été compromise.

Pouvez-vous attaquer Adobe en justice ? Pas vraiment…

Adobe (comme l’écrasante majorité des entreprises offrant des services en ligne) ne garantit pas la sécurité de vos données. Cette exclusion de responsabilité se trouve dans les conditions générales d’utilisation que vous n’avez pas lues mais que vous avez acceptées.

[…] We provide reasonable administrative, technical, and physical security controls to protect your personal information. However, despite our efforts, no security controls are 100% effective and Adobe cannot ensure or warrant the security of your personal information. (Source : Privacy Policy)

Il faudrait parvenir à prouver qu’Adobe a commis une erreur, ne s’est pas conformé aux standards utilisés par les autres acteurs du marché, etc. Mais même dans ce cas, si Adobe démontre que cela n’aurait rien changé, il faudrait trouver d’autres arguments. Autant dire que sans l’aide d’Ethan Hunt, c’est Mission Impossible.