Après Spotify, Amazon et Netflix lancent une vague de réinitialisation de mots de passe

Après Spotify, Amazon et Netflix lancent une vague de réinitialisation de mots de passe

Tuyaux percés

Avatar de l'auteur

Guénaël Pépin

Publié dansInternet

17/10/2016
36
Après Spotify, Amazon et Netflix lancent une vague de réinitialisation de mots de passe

Amazon et Netflix ont envoyé des emails à une partie de leurs utilisateurs pour leur demander de changer de mot de passe. Elles disent agir après avoir découvert des couples d'identifiants similaires dans des fuites de données récentes.

Réinitialiser des mots de passe pourrait bien devenir une activité en vogue. Début septembre, Spotify nous confirmait forcer le changement des identifiants de certains de ses utilisateurs, qui les ont réutilisés ailleurs. Ces derniers jours, deux entreprises lui ont emboité le pas : Amazon et Netflix. Toutes deux ont prévenu leurs clients qu'ils doivent changer leurs mots de passe, trouvés dans des fuites récentes.

Amazon recommande d'activer une double sécurité

« Dans le cadre de notre surveillance habituelle, nous avons découvert une liste d'adresses email et de mots de passe mis en ligne. Même si cette liste n'a pas de lien avec Amazon, nous savons que beaucoup de clients réutilisent leur mot de passe sur plusieurs sites » indique ainsi Amazon dans un courriel envoyé à ses clients américains, et confirmé à Venturebeat. Au retour sur le site, le mot de passe devra être changé.

Le cybermarchand recommande d'ailleurs d'activer l'authentification en deux étapes. Pour un compte français, il faut d'abord passer par Amazon.com pour l'activer, comme nous l'expliquions à son arrivée. Une fois en place, l'option est paramétrable sur Amazon.fr dans les paramètres du compte, puis « Paramètres de sécurité et de connexion » et « Paramètres de sécurité avancés ». Elle peut passer soit par SMS, soit par un code temporaire généré par une application dédiée (comme Google/Microsoft Authenticator).

Netflix encourage le changement de mot de passe

De son côté, Netflix a envoyé à certains de ses membres un message au contenu semblable à celui d'Amazon, à une différence près. Quand l'e-commerçant impose le changement d'identifiant, Netflix le recommande seulement. Il demande ainsi à ses utilisateurs de passer par la procédure d'oubli de mot de passe, qu'il est facile de rater. L'envoi du message a été révélé par Adweek, et confirmé à The Register par le service, qui en aurait également envoyé en juin dernier.

Comme les deux autres entreprises, Netflix n'indique pas le nombre d'utilisateurs concernés par cette mesure. Toujours est-il qu'il semble que les principaux acteurs du Net ont pris l'habitude d'explorer le contenu des fuites de données récemment mises au jour. En septembre, Spotify nous affirmait d'ailleurs contrôler régulièrement les sites où peuvent apparaître le contenu de ces fuites, pour les comparer à sa propre base.

Un nouvel océan de données personnelles

Il faut dire que, ces derniers mois, les révélations de fuites de données sont nombreuses. Si certaines datent de plusieurs années, elles n'en restent pas moins une actualité importante pour ceux qui doivent s'assurer de la sécurité de leurs utilisateurs. Parmi elles, la remontée de 68 millions d'identifiants de comptes Dropbox vieux de quatre ans a établi un premier record... Même si les informations étaient bien obsolètes depuis cette époque, le service ayant agi avant leur remontée à la surface.

Le nombre de données disponibles a, en fait, explosé fin septembre avec la confirmation du vol de données de 500 millions d'utilisateurs de Yahoo, que la société a caché pendant deux ans. Sa révélation tardive pourrait d'ailleurs compromettre son rachat par l'opérateur américain Verizon.

Que faire dans ce genre de cas ? Une première étape peut être de comparer ses adresses email avec les listes de comptes publiées, compilées par le chercheur Troy Hunt via le site Have I been pwned?. On pourra également diversifer les mots de passe sur les services où vous savez utiliser les mêmes identifiants, pour éviter qu'une fuite de l'un devienne un problème sur d'autres.

Pour vous y aider, vous pouvez consulter notre guide complet sur la conception d'un bon mot de passe. Nous avons également concocté un large dossier sur les gestionnaires dédiés, un moyen désormais très pratique de sécuriser ses comptes en ligne, avec un large choix allant de la solution open source locale (comme KeePass) aux services en ligne avec fonctions proactives (comme 1Password, Dashlane ou LastPass).

36
Avatar de l'auteur

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

Toxique de répétition

17:15IA et algorithmesSciences et espace 2
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Ou comment briller en société (de service)

16:53Sécurité 6
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Dangereuse, mais spécifique ?

15:57Sécurité 11

Sommaire de l'article

Introduction

Amazon recommande d'activer une double sécurité', this)">

Amazon recommande d'activer une double sécurité

Netflix encourage le changement de mot de passe', this)">

Netflix encourage le changement de mot de passe

Un nouvel océan de données personnelles

livre dématérialisé

Des chercheurs ont élaboré une technique d’extraction des données d’entrainement de ChatGPT

IA et algorithmesSciences et espace 2
Un chien avec des lunettes apprend sur une tablette

Devenir expert en sécurité informatique en 3 clics

Sécurité 6
Logo ownCloud

ownCloud : faille béante dans les déploiements conteneurisés utilisant graphapi

Sécurité 11
Le SoC Graviton4 d’Amazon AWS posé sur une table

Amazon re:invent : SoC Graviton4 (Arm), instance R8g et Trainium2 pour l’IA

Hardware 1
Logo Comcybergend

Guéguerre des polices dans le cyber (OFAC et ComCyberMi)

Sécurité 10

#LeBrief : faille 0-day dans Chrome, smartphones à Hong Kong, 25 ans de la Dreamcast

0
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardwareInternet 2
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IA et algorithmesSociété numérique 53

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA et algorithmes 28
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitInternet 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société numérique 4
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitInternet 3

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

0

Le poing Dev – round 6

Next 143

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 9
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA et algorithmes 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Sciences et espace 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hardware 7

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

0
Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Internet 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 65
Pilule rouge et bleue avec des messages codés

Encapsulation de clés et chiffrement d’enveloppes

Sécurité 31
Empreinte digital sur une capteur

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

Sécurité 20

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

0

Hébergeurs, éditeurs, espaces de conversation ? La difficile régulation des réseaux sociaux

Réseaux sociauxSociété numérique 23
Puces en silicium

Silicium : un matériau indispensable et omniprésent, mais critique

HardwareSciences et espace 25
Panneau solaire bi-face Sunology Play

Panneaux solaires en autoconsommation : on décortique le kit Play de Sunology

Hardware 29
The eyes and ears of the army, Fort Dix, N.J.

Un think tank propose d’autoriser les opérations de « hack back »

Sécurité 13

#LeBrief : Ariane 6 sur le banc de test, arrestation algorithmique, entraînement d’IA par des mineurs

0
Logo de Google sur un ordinateur portable

Chrome : Google corrige plusieurs failles sévères, dont une déjà exploitée

Logiciel 2

vieux téléphones portables

Des cadres supérieurs invités à n’utiliser que des téléphones jetables à Hong Kong

Sécurité 20

La Dreamcast de Sega fête ses 25 ans

Hardware 22

Pilule rouge et bleue avec des messages codés

Démantèlement d’un groupe ukrainien de rançongiciels

Sécurité 5

Commentaires (36)


thomgamer
Il y a 7 ans

Je dois être “nul”, mais j’ai jamais trouvé cette fonction dans mes paramètres de sécurité Amazon. J’ai pas d’option de sécurité avancée.

Ou alors c’est pas encore implémenté ou destiné au premium.


Jarodd Abonné
Il y a 7 ans


listes de comptes publiées, compilées par le chercheur Troy Hunt via le site Have I been pwned?.


Le problème de ce type de services, c’est qu’il faut fournir ses identifiants pour avoir la réponse. Et on ne sait pas si c’est stocké ensuite, comment, par qui, si c’est sécurisé,… Peu de personnes savent que c’est l’initiative d’un chercheur (ce qui ne garantit pas la sécurité des données).


Anje_greuh
Il y a 7 ans

Idem, je ne vois rien sur Amazon pour la double identification.


kade
Il y a 7 ans

Amazon… Le seul site sur lequel ma CB est enregistrée, et qui ne demande aucun code sécure (SMS) pour valider un achat 1-click <img data-src=" />


keralan Abonné
Il y a 7 ans

Faut passer par Amazon.com pour l’option de double authentification.


thomgamer
Il y a 7 ans

+1

La pub “Premium” aussi est bien chiante car tu peux t’y abonner sans trop faire exprès.
Puis le fait que les chèques-cadeaux sont utilisés par défaut c’est chiant aussi.


anonyme_d5bf0b9f87fd15affa58563db3b0ac5d
Il y a 7 ans

Des services qui n’automatisent pas la suppression d’un compte par l’utilisateur. Je dis ça en passant sur un article qui parle des GAFAM et des NATU soit-disant à la pointe des algorithmes et de la simplification des tâches.

(je dis ça, je dis rien)


Red-Balls
Il y a 7 ans

en esperant que les gestionnaires de mots de passe en ligne, lastpass et consorts,ne se fassent jamais piratés….
difficile aujourd’hui de s’en passer..


kwak-kwak
Il y a 7 ans






Jarodd a écrit :

Le problème de ce type de services, c’est qu’il faut fournir ses identifiants pour avoir la réponse. Et on ne sait pas si c’est stocké ensuite, comment, par qui, si c’est sécurisé,… Peu de personnes savent que c’est l’initiative d’un chercheur (ce qui ne garantit pas la sécurité des données).


Le site me demande en aucun cas les mots de passe mais une adresse email ou un nom de compte (qui n’est pas secret). Il n’y a aucune raison que le site stocke l’adresse que tu cherches à vérifier, il ne stocke que les bases hackées. Quand à savoir si les adresses entrées sont revendues pour le spam, c’est assez facile à vérifier (et ça se saurait si c’était le cas).



totor65 Abonné
Il y a 7 ans

Idem je ne trouve pas l’option double authentification sur Amazon.fr (et je ne suis pas aveugle, dans l’article il est bien question de Amazon.fr). Je connaissais l’astuce visant à passer par Amazon.com mais sérieusement, qu’est-ce qui les empêche de mettre cette option aussi sur la plateforme en France ?!


Gnppn Abonné
Il y a 7 ans

Pour info, l’authentification à deux facteurs mentionnée ce matin dans l’article concerne bien Amazon.fr, à l’endroit indiqué. Je viens de revérifier et c’est bien disponible à cette adresse. Le lien a été ajouté.


MaiEolia
Il y a 7 ans






Gnppn a écrit :

Pour info, l’authentification à deux facteurs mentionnée ce matin dans l’article concerne bien Amazon.fr, à l’endroit indiqué. Je viens de revérifier et c’est bien disponible à cette adresse. Le lien a été ajouté.


Si je clique sur ton lien j’ai bien une page mais aucun paramètre dans celle ci.



MaiEolia
Il y a 7 ans

Zut je ne peux plus éditer :
http://i.imgur.com/wxryp6E.jpg


anonyme_447570885b66ca42145fd71079a75237
Il y a 7 ans

Pareil pour moi, je n’ai pas cette option. Quand je clique sur le lien j’ai une page vide.


Gnppn Abonné
Il y a 7 ans

Au lancement, l’activation de l’option était réservée à Amazon.com, ce qui l’activait automatiquement sur Amazon.fr, comme nous l’indiquions. &nbsp;Est-ce que cette page fonctionne mieux pour vous ?


dylem29 Abonné
Il y a 7 ans

Sur Amazon.com la page fonctionne.


kwak-kwak
Il y a 7 ans

Je confirme, la page Américaine semble mieux fonctionner de mon coté (je n’ai pas poussé la double authentification jusqu’au bout pour ne pas risquer de bloquer mon compte en raison des versions différentes entre la page Française et la page Américaine).

Sur la page Française j’ai le même résultat que MaiEolia ci-dessus
Et sur la page Américaine, j’ai ça.

A noter : Je suis Premium sur Amazon.fr


anonyme_97254becd5c5b064755d6772703ed968
Il y a 7 ans

Bien sure ils ne se sont pas fait pirater …

J’attends le tour de Google et Microsoft pour bien me marrer.

Get on the CLOUDDDDDD , NOW !


anonyme_97254becd5c5b064755d6772703ed968
Il y a 7 ans

<img data-src=" />


keralan Abonné
Il y a 7 ans

L’option sur Amazon.fr n’apparait que si on a activé la double authentification par Amazon.com&nbsp; <img data-src=" />

Testé ce jour…


thomgamer
Il y a 7 ans

Via ton lien aucun soucis, par contre la vraie question : Tu y accèdes comment via le menu “votre compte”, car j’ai vérifié, je n’ai pas accès à cette page via mes options de compte.


egoz
Il y a 7 ans

Pour moi la page fonctionne, mais je ne reçois jamais le SMS …&nbsp;<img data-src=" />


Gnppn Abonné
Il y a 7 ans

J’ai détaillé le chemin de lien en lien dans l’article, c’est par là que j’y ai accédé.
Merci à tous pour les retours.&nbsp;<img data-src=" />


jb18v
Il y a 7 ans

sur amazon.com, renseigné en étape 1, en étape 2 il propose un 2e n° de tél <img data-src=" /> (ou une appli authentificator). Bref un n° renseigné, ça me va.


thomgamer
Il y a 7 ans






keralan a écrit :

L’option sur Amazon.fr n’apparait que si on a activé la double authentification par Amazon.com&nbsp; <img data-src=" />

Testé ce jour…




Gnppn a écrit :

J’ai détaillé le chemin de lien en lien dans l’article, c’est par là que j’y ai accédé.
Merci à tous pour les retours.&nbsp;<img data-src=" />


Je rejoins Keralan, l’option n’apparait qu’après avoir activé la double authentification via le site US, car auparavant je n’avais que 3 choix (Nom, Email et password), une fois l’authentification activée via amazon.com j’ai bien le 4ème choix (d’ailleurs l’interface utilisateur est sensiblement changé).

Ou alors manque de bol, quand j’ai essayé ce matin en voyant l’article c’était pas dispo et ils ne l’ont implémenté qu’après.



Hipparchia Abonné
Il y a 7 ans

Tu ne fournis aucun identifiant, tu mets ton mail et ça va vérifier s’il existe dans les logs.


anonyme_69736061fe834a059975aa425bebeb6d
Il y a 7 ans

Perso, impossible de me co à mon compte.
Forçage de amazon ?

J’ai dû le changer via le “mot de passe oublié”.

Bon, cela est fait…à voir si je passe par la double authentification.


Jarodd Abonné
Il y a 7 ans

Ton mail n’est pas un identifiant ?


kwak-kwak
Il y a 7 ans






Jarodd a écrit :

Ton mail n’est pas un identifiant ?


Ton mail n’est pas un secret. Le fait que quelqu’un connaisse ton adresse mail ne constitue aucune menace sur le plan de la sécurité. Tout au pire, tu recevras du spams.

Ce qui est plan gênant, c’est que quelqu’un connaisse ton mot de passe (sans forcément connaître l’identifiant qui y est lié). Car cela peut alimenter un dictionnaire en vue de futures attaques.

Donc :




  • Vérifier si mon adresse mail est dans une base hackée =&gt; Aucun risque, sauf peut-être du spam.

  • Vérifier si mon mot de passe est sûr sur un site =&gt; Très risqué

    Une autre chose de gênante est la divulgation de tes données sociales quand elles peuvent-être liées à un identifiant (date de naissance naissance , adresse, nom de ta mère, numéro de tel, nom de ton animal de compagnie, etc… en association de ton email) Car cela permet de répondre aux questions complémentaires.



Hipparchia Abonné
Il y a 7 ans

Il manque le mot de passe.


Henri_MTL
Il y a 7 ans

Ce genre de mail, ça sent la grosse fuite de données personnelles qu’on va nous apprendre dans 6 mois “à la Yahoo”&nbsp;<img data-src=" />&nbsp; &nbsp;Je vais changer mon password de ce pas&nbsp;<img data-src=" />


Hipparchia Abonné
Il y a 7 ans

Je confirme qu’une fois l’activation de la 2x authentification sur le site .com l’option apparait ensuite dans les préférences de mon compte FR.
Je précise bien qu’elle n’avais jamais été activée.


Jarodd Abonné
Il y a 7 ans

Et donc si ton e-mail est présent dans le fichier, il y a le mdp correspondant (peut-être en clair). En utilisant ce service, tu donnes l’information que ton e-mail est actif et que tu te soucies du hackage. Sur le total de comptes présents dans les leaks, ça peut permettre d’isoler 1% de comptes actifs. Si en plus tu utilises les mêmes identifiants, c’est jackpot car on peut demander un changement de mot de passe qui te sera envoyé par e-mail. Donc je préfères ne pas utiliser ce service et agiter un drapeau “compte piraté” au dessus de ma tête.


Jarodd Abonné
Il y a 7 ans

Qui peut être dans le fichier derrière le service. Voir mon message précédent, ce service peut juste permettre de voir quels comptes sont actifs parmi la masss récupérée (c’est ce qui donne de la valeur à ce hack car si 100% des comptes sont inactifs, c’est un peu loupé <img data-src=" />)


kwak-kwak
Il y a 7 ans

Non…
Les bases utilisées sont connues du publique, par conséquent toute adresse remontée est déjà potentiellement hackée. Ce serait de la folie que de laisser un compte avec les mêmes identifiants.

Personnellement, mes identifiants remontent depuis au moins 11 bases distinctes.

Pour certaines bases, je ne les utilise plus depuis plusieurs années voir même ne les ai jamais vraiment utilisé, je me suis juste inscrit dessus une fois pour voir à quoi ça ressemblait.
Pour d’autres bases, j’avais déjà changé mon mot de passe entre la date du hack et sa publication.


anonyme_47da8d4ad4eb955aa025af080b0387df
Il y a 7 ans






Jarodd a écrit :

Le problème de ce type de services, c’est qu’il faut fournir ses identifiants pour avoir la réponse. Et on ne sait pas si c’est stocké ensuite, comment, par qui, si c’est sécurisé,… Peu de personnes savent que c’est l’initiative d’un chercheur (ce qui ne garantit pas la sécurité des données).


D’autant plus sujet à caution que certaines de ses bases étaient -vendues- et des sommes plutôt rondelettes. Je veux bien imaginer que les gars a pu se les procurer gratos par contre ca veut dire qu’il trempe dans des circuits un peu louche. Autant demander à des comptables véreux de faire la certification des boites du CAC40. Oh wait !

PS apres je trouve que verifier une adresse mail parmi 1 milliards 800 millions (1,801,838,008
pwned accounts)&nbsp; est supeeeer rapide. Ca doit être en plus un DBA super doué avec une puissance de calcul hors pair.