Après Spotify, Amazon et Netflix lancent une vague de réinitialisation de mots de passe

Après Spotify, Amazon et Netflix lancent une vague de réinitialisation de mots de passe

Tuyaux percés

Avatar de l'auteur

Guénaël Pépin

Publié dansInternet

17/10/2016
36
Après Spotify, Amazon et Netflix lancent une vague de réinitialisation de mots de passe

Amazon et Netflix ont envoyé des emails à une partie de leurs utilisateurs pour leur demander de changer de mot de passe. Elles disent agir après avoir découvert des couples d'identifiants similaires dans des fuites de données récentes.

Réinitialiser des mots de passe pourrait bien devenir une activité en vogue. Début septembre, Spotify nous confirmait forcer le changement des identifiants de certains de ses utilisateurs, qui les ont réutilisés ailleurs. Ces derniers jours, deux entreprises lui ont emboité le pas : Amazon et Netflix. Toutes deux ont prévenu leurs clients qu'ils doivent changer leurs mots de passe, trouvés dans des fuites récentes.

Amazon recommande d'activer une double sécurité

« Dans le cadre de notre surveillance habituelle, nous avons découvert une liste d'adresses email et de mots de passe mis en ligne. Même si cette liste n'a pas de lien avec Amazon, nous savons que beaucoup de clients réutilisent leur mot de passe sur plusieurs sites » indique ainsi Amazon dans un courriel envoyé à ses clients américains, et confirmé à Venturebeat. Au retour sur le site, le mot de passe devra être changé.

Le cybermarchand recommande d'ailleurs d'activer l'authentification en deux étapes. Pour un compte français, il faut d'abord passer par Amazon.com pour l'activer, comme nous l'expliquions à son arrivée. Une fois en place, l'option est paramétrable sur Amazon.fr dans les paramètres du compte, puis « Paramètres de sécurité et de connexion » et « Paramètres de sécurité avancés ». Elle peut passer soit par SMS, soit par un code temporaire généré par une application dédiée (comme Google/Microsoft Authenticator).

Netflix encourage le changement de mot de passe

De son côté, Netflix a envoyé à certains de ses membres un message au contenu semblable à celui d'Amazon, à une différence près. Quand l'e-commerçant impose le changement d'identifiant, Netflix le recommande seulement. Il demande ainsi à ses utilisateurs de passer par la procédure d'oubli de mot de passe, qu'il est facile de rater. L'envoi du message a été révélé par Adweek, et confirmé à The Register par le service, qui en aurait également envoyé en juin dernier.

Comme les deux autres entreprises, Netflix n'indique pas le nombre d'utilisateurs concernés par cette mesure. Toujours est-il qu'il semble que les principaux acteurs du Net ont pris l'habitude d'explorer le contenu des fuites de données récemment mises au jour. En septembre, Spotify nous affirmait d'ailleurs contrôler régulièrement les sites où peuvent apparaître le contenu de ces fuites, pour les comparer à sa propre base.

Un nouvel océan de données personnelles

Il faut dire que, ces derniers mois, les révélations de fuites de données sont nombreuses. Si certaines datent de plusieurs années, elles n'en restent pas moins une actualité importante pour ceux qui doivent s'assurer de la sécurité de leurs utilisateurs. Parmi elles, la remontée de 68 millions d'identifiants de comptes Dropbox vieux de quatre ans a établi un premier record... Même si les informations étaient bien obsolètes depuis cette époque, le service ayant agi avant leur remontée à la surface.

Le nombre de données disponibles a, en fait, explosé fin septembre avec la confirmation du vol de données de 500 millions d'utilisateurs de Yahoo, que la société a caché pendant deux ans. Sa révélation tardive pourrait d'ailleurs compromettre son rachat par l'opérateur américain Verizon.

Que faire dans ce genre de cas ? Une première étape peut être de comparer ses adresses email avec les listes de comptes publiées, compilées par le chercheur Troy Hunt via le site Have I been pwned?. On pourra également diversifer les mots de passe sur les services où vous savez utiliser les mêmes identifiants, pour éviter qu'une fuite de l'un devienne un problème sur d'autres.

Pour vous y aider, vous pouvez consulter notre guide complet sur la conception d'un bon mot de passe. Nous avons également concocté un large dossier sur les gestionnaires dédiés, un moyen désormais très pratique de sécuriser ses comptes en ligne, avec un large choix allant de la solution open source locale (comme KeePass) aux services en ligne avec fonctions proactives (comme 1Password, Dashlane ou LastPass).

36
Avatar de l'auteur

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Guacamole sur un plateau

Guacamole sur un plateau (1/5) : on monte un bastion sécurisé

Vous cherchez le bastion ?

17:13 WebSécu 5
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

Projet européen sur le cloud : OVHcloud s’est retirée au dernier moment et s’explique

Tu me vois, tu ne me vois plus

16:45 IAWeb 2
IA Act

AI Act européen : un compromis de haute lutte, de rares interdictions

Un bon compromis, ça laisse tout le monde mécontent ?

16:35 DroitIA 0

Sommaire de l'article

Introduction

Amazon recommande d'activer une double sécurité

Netflix encourage le changement de mot de passe

Un nouvel océan de données personnelles

Guacamole sur un plateau

Guacamole sur un plateau (1/5) : on monte un bastion sécurisé

WebSécu 5
Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

Projet européen sur le cloud : OVHcloud s’est retirée au dernier moment et s’explique

IAWeb 2
IA Act

AI Act européen : un compromis de haute lutte, de rares interdictions

DroitIA 0
Panneau stop

Apple bloque Beeper, qui permettait d’utiliser iMessage sur Android

WebSoft 14

#LeBrief : faux avis sur Internet, enquêtes sur l’accord Microsoft et OpenAI, cybersécurité aux États-Unis

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 9
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 43
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 28

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 41
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 21
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 18

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 31
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 8
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 25
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Acheter sur Internet et payer avec sa carte bancaire

La DGCCRF traque les faux avis sur Internet avec son Polygraphe

ÉcoWeb 16

Logo OpenAI

Au Royaume-Uni et aux États-Unis, l’accord entre Microsoft et OpenAI à la loupe

Droit 4

Une main tenant de gros paquets de dollars

87 % des agences états-uniennes ne parviennent pas à respecter les normes de cybersécurité

DroitSécu 3

Florie Marie démissionne de la présidence du Parti Pirate International

Société 8

Commentaires (36)


thomgamer
Le 17/10/2016 à 08h57

Je dois être “nul”, mais j’ai jamais trouvé cette fonction dans mes paramètres de sécurité Amazon. J’ai pas d’option de sécurité avancée.

Ou alors c’est pas encore implémenté ou destiné au premium.


Jarodd Abonné
Le 17/10/2016 à 09h01


listes de comptes publiées, compilées par le chercheur Troy Hunt via le site Have I been pwned?.


Le problème de ce type de services, c’est qu’il faut fournir ses identifiants pour avoir la réponse. Et on ne sait pas si c’est stocké ensuite, comment, par qui, si c’est sécurisé,… Peu de personnes savent que c’est l’initiative d’un chercheur (ce qui ne garantit pas la sécurité des données).


Anje_greuh
Le 17/10/2016 à 09h01

Idem, je ne vois rien sur Amazon pour la double identification.


kade
Le 17/10/2016 à 09h05

Amazon… Le seul site sur lequel ma CB est enregistrée, et qui ne demande aucun code sécure (SMS) pour valider un achat 1-click <img data-src=" />


keralan Abonné
Le 17/10/2016 à 09h09

Faut passer par Amazon.com pour l’option de double authentification.


thomgamer
Le 17/10/2016 à 09h11

+1

La pub “Premium” aussi est bien chiante car tu peux t’y abonner sans trop faire exprès.
Puis le fait que les chèques-cadeaux sont utilisés par défaut c’est chiant aussi.


anonyme_d5bf0b9f87fd15affa58563db3b0ac5d
Le 17/10/2016 à 09h14

Des services qui n’automatisent pas la suppression d’un compte par l’utilisateur. Je dis ça en passant sur un article qui parle des GAFAM et des NATU soit-disant à la pointe des algorithmes et de la simplification des tâches.

(je dis ça, je dis rien)


Red-Balls
Le 17/10/2016 à 09h20

en esperant que les gestionnaires de mots de passe en ligne, lastpass et consorts,ne se fassent jamais piratés….
difficile aujourd’hui de s’en passer..


kwak-kwak
Le 17/10/2016 à 09h28






Jarodd a écrit :

Le problème de ce type de services, c’est qu’il faut fournir ses identifiants pour avoir la réponse. Et on ne sait pas si c’est stocké ensuite, comment, par qui, si c’est sécurisé,… Peu de personnes savent que c’est l’initiative d’un chercheur (ce qui ne garantit pas la sécurité des données).


Le site me demande en aucun cas les mots de passe mais une adresse email ou un nom de compte (qui n’est pas secret). Il n’y a aucune raison que le site stocke l’adresse que tu cherches à vérifier, il ne stocke que les bases hackées. Quand à savoir si les adresses entrées sont revendues pour le spam, c’est assez facile à vérifier (et ça se saurait si c’était le cas).



totor65 Abonné
Le 17/10/2016 à 09h58

Idem je ne trouve pas l’option double authentification sur Amazon.fr (et je ne suis pas aveugle, dans l’article il est bien question de Amazon.fr). Je connaissais l’astuce visant à passer par Amazon.com mais sérieusement, qu’est-ce qui les empêche de mettre cette option aussi sur la plateforme en France ?!


Gnppn Abonné
Le 17/10/2016 à 10h05

Pour info, l’authentification à deux facteurs mentionnée ce matin dans l’article concerne bien Amazon.fr, à l’endroit indiqué. Je viens de revérifier et c’est bien disponible à cette adresse. Le lien a été ajouté.


MaiEolia
Le 17/10/2016 à 10h12






Gnppn a écrit :

Pour info, l’authentification à deux facteurs mentionnée ce matin dans l’article concerne bien Amazon.fr, à l’endroit indiqué. Je viens de revérifier et c’est bien disponible à cette adresse. Le lien a été ajouté.


Si je clique sur ton lien j’ai bien une page mais aucun paramètre dans celle ci.



MaiEolia
Le 17/10/2016 à 10h19

Zut je ne peux plus éditer :
http://i.imgur.com/wxryp6E.jpg


anonyme_447570885b66ca42145fd71079a75237
Le 17/10/2016 à 10h21

Pareil pour moi, je n’ai pas cette option. Quand je clique sur le lien j’ai une page vide.


Gnppn Abonné
Le 17/10/2016 à 10h30

Au lancement, l’activation de l’option était réservée à Amazon.com, ce qui l’activait automatiquement sur Amazon.fr, comme nous l’indiquions. &nbsp;Est-ce que cette page fonctionne mieux pour vous ?


dylem29 Abonné
Le 17/10/2016 à 10h48

Sur Amazon.com la page fonctionne.


kwak-kwak
Le 17/10/2016 à 11h26

Je confirme, la page Américaine semble mieux fonctionner de mon coté (je n’ai pas poussé la double authentification jusqu’au bout pour ne pas risquer de bloquer mon compte en raison des versions différentes entre la page Française et la page Américaine).

Sur la page Française j’ai le même résultat que MaiEolia ci-dessus
Et sur la page Américaine, j’ai ça.

A noter : Je suis Premium sur Amazon.fr


anonyme_97254becd5c5b064755d6772703ed968
Le 17/10/2016 à 11h27

Bien sure ils ne se sont pas fait pirater …

J’attends le tour de Google et Microsoft pour bien me marrer.

Get on the CLOUDDDDDD , NOW !


anonyme_97254becd5c5b064755d6772703ed968
Le 17/10/2016 à 11h28

<img data-src=" />


keralan Abonné
Le 17/10/2016 à 11h44

L’option sur Amazon.fr n’apparait que si on a activé la double authentification par Amazon.com&nbsp; <img data-src=" />

Testé ce jour…


thomgamer
Le 17/10/2016 à 11h47

Via ton lien aucun soucis, par contre la vraie question : Tu y accèdes comment via le menu “votre compte”, car j’ai vérifié, je n’ai pas accès à cette page via mes options de compte.


egoz
Le 17/10/2016 à 11h47

Pour moi la page fonctionne, mais je ne reçois jamais le SMS …&nbsp;<img data-src=" />


Gnppn Abonné
Le 17/10/2016 à 11h49

J’ai détaillé le chemin de lien en lien dans l’article, c’est par là que j’y ai accédé.
Merci à tous pour les retours.&nbsp;<img data-src=" />


jb18v
Le 17/10/2016 à 11h52

sur amazon.com, renseigné en étape 1, en étape 2 il propose un 2e n° de tél <img data-src=" /> (ou une appli authentificator). Bref un n° renseigné, ça me va.


thomgamer
Le 17/10/2016 à 11h53






keralan a écrit :

L’option sur Amazon.fr n’apparait que si on a activé la double authentification par Amazon.com&nbsp; <img data-src=" />

Testé ce jour…




Gnppn a écrit :

J’ai détaillé le chemin de lien en lien dans l’article, c’est par là que j’y ai accédé.
Merci à tous pour les retours.&nbsp;<img data-src=" />


Je rejoins Keralan, l’option n’apparait qu’après avoir activé la double authentification via le site US, car auparavant je n’avais que 3 choix (Nom, Email et password), une fois l’authentification activée via amazon.com j’ai bien le 4ème choix (d’ailleurs l’interface utilisateur est sensiblement changé).

Ou alors manque de bol, quand j’ai essayé ce matin en voyant l’article c’était pas dispo et ils ne l’ont implémenté qu’après.



Hipparchia Abonné
Le 17/10/2016 à 11h57

Tu ne fournis aucun identifiant, tu mets ton mail et ça va vérifier s’il existe dans les logs.


anonyme_69736061fe834a059975aa425bebeb6d
Le 17/10/2016 à 11h57

Perso, impossible de me co à mon compte.
Forçage de amazon ?

J’ai dû le changer via le “mot de passe oublié”.

Bon, cela est fait…à voir si je passe par la double authentification.


Jarodd Abonné
Le 17/10/2016 à 13h02

Ton mail n’est pas un identifiant ?


kwak-kwak
Le 17/10/2016 à 14h37






Jarodd a écrit :

Ton mail n’est pas un identifiant ?


Ton mail n’est pas un secret. Le fait que quelqu’un connaisse ton adresse mail ne constitue aucune menace sur le plan de la sécurité. Tout au pire, tu recevras du spams.

Ce qui est plan gênant, c’est que quelqu’un connaisse ton mot de passe (sans forcément connaître l’identifiant qui y est lié). Car cela peut alimenter un dictionnaire en vue de futures attaques.

Donc :




  • Vérifier si mon adresse mail est dans une base hackée =&gt; Aucun risque, sauf peut-être du spam.

  • Vérifier si mon mot de passe est sûr sur un site =&gt; Très risqué

    Une autre chose de gênante est la divulgation de tes données sociales quand elles peuvent-être liées à un identifiant (date de naissance naissance , adresse, nom de ta mère, numéro de tel, nom de ton animal de compagnie, etc… en association de ton email) Car cela permet de répondre aux questions complémentaires.



Hipparchia Abonné
Le 17/10/2016 à 15h08

Il manque le mot de passe.


Henri_MTL
Le 17/10/2016 à 15h12

Ce genre de mail, ça sent la grosse fuite de données personnelles qu’on va nous apprendre dans 6 mois “à la Yahoo”&nbsp;<img data-src=" />&nbsp; &nbsp;Je vais changer mon password de ce pas&nbsp;<img data-src=" />


Hipparchia Abonné
Le 17/10/2016 à 15h17

Je confirme qu’une fois l’activation de la 2x authentification sur le site .com l’option apparait ensuite dans les préférences de mon compte FR.
Je précise bien qu’elle n’avais jamais été activée.


Jarodd Abonné
Le 17/10/2016 à 16h06

Et donc si ton e-mail est présent dans le fichier, il y a le mdp correspondant (peut-être en clair). En utilisant ce service, tu donnes l’information que ton e-mail est actif et que tu te soucies du hackage. Sur le total de comptes présents dans les leaks, ça peut permettre d’isoler 1% de comptes actifs. Si en plus tu utilises les mêmes identifiants, c’est jackpot car on peut demander un changement de mot de passe qui te sera envoyé par e-mail. Donc je préfères ne pas utiliser ce service et agiter un drapeau “compte piraté” au dessus de ma tête.


Jarodd Abonné
Le 17/10/2016 à 16h07

Qui peut être dans le fichier derrière le service. Voir mon message précédent, ce service peut juste permettre de voir quels comptes sont actifs parmi la masss récupérée (c’est ce qui donne de la valeur à ce hack car si 100% des comptes sont inactifs, c’est un peu loupé <img data-src=" />)


kwak-kwak
Le 17/10/2016 à 20h58

Non…
Les bases utilisées sont connues du publique, par conséquent toute adresse remontée est déjà potentiellement hackée. Ce serait de la folie que de laisser un compte avec les mêmes identifiants.

Personnellement, mes identifiants remontent depuis au moins 11 bases distinctes.

Pour certaines bases, je ne les utilise plus depuis plusieurs années voir même ne les ai jamais vraiment utilisé, je me suis juste inscrit dessus une fois pour voir à quoi ça ressemblait.
Pour d’autres bases, j’avais déjà changé mon mot de passe entre la date du hack et sa publication.


anonyme_47da8d4ad4eb955aa025af080b0387df
Le 18/10/2016 à 14h26






Jarodd a écrit :

Le problème de ce type de services, c’est qu’il faut fournir ses identifiants pour avoir la réponse. Et on ne sait pas si c’est stocké ensuite, comment, par qui, si c’est sécurisé,… Peu de personnes savent que c’est l’initiative d’un chercheur (ce qui ne garantit pas la sécurité des données).


D’autant plus sujet à caution que certaines de ses bases étaient -vendues- et des sommes plutôt rondelettes. Je veux bien imaginer que les gars a pu se les procurer gratos par contre ca veut dire qu’il trempe dans des circuits un peu louche. Autant demander à des comptables véreux de faire la certification des boites du CAC40. Oh wait !

PS apres je trouve que verifier une adresse mail parmi 1 milliards 800 millions (1,801,838,008
pwned accounts)&nbsp; est supeeeer rapide. Ca doit être en plus un DBA super doué avec une puissance de calcul hors pair.