Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Après Spotify, Amazon et Netflix lancent une vague de réinitialisation de mots de passe

Tuyaux percés

Après Spotify, Amazon et Netflix lancent une vague de réinitialisation de mots de passe

Le 17 octobre 2016 à 08h50

Amazon et Netflix ont envoyé des emails à une partie de leurs utilisateurs pour leur demander de changer de mot de passe. Elles disent agir après avoir découvert des couples d'identifiants similaires dans des fuites de données récentes.

Réinitialiser des mots de passe pourrait bien devenir une activité en vogue. Début septembre, Spotify nous confirmait forcer le changement des identifiants de certains de ses utilisateurs, qui les ont réutilisés ailleurs. Ces derniers jours, deux entreprises lui ont emboité le pas : Amazon et Netflix. Toutes deux ont prévenu leurs clients qu'ils doivent changer leurs mots de passe, trouvés dans des fuites récentes.

Amazon recommande d'activer une double sécurité

« Dans le cadre de notre surveillance habituelle, nous avons découvert une liste d'adresses email et de mots de passe mis en ligne. Même si cette liste n'a pas de lien avec Amazon, nous savons que beaucoup de clients réutilisent leur mot de passe sur plusieurs sites » indique ainsi Amazon dans un courriel envoyé à ses clients américains, et confirmé à Venturebeat. Au retour sur le site, le mot de passe devra être changé.

Le cybermarchand recommande d'ailleurs d'activer l'authentification en deux étapes. Pour un compte français, il faut d'abord passer par Amazon.com pour l'activer, comme nous l'expliquions à son arrivée. Une fois en place, l'option est paramétrable sur Amazon.fr dans les paramètres du compte, puis « Paramètres de sécurité et de connexion » et « Paramètres de sécurité avancés ». Elle peut passer soit par SMS, soit par un code temporaire généré par une application dédiée (comme Google/Microsoft Authenticator).

Netflix encourage le changement de mot de passe

De son côté, Netflix a envoyé à certains de ses membres un message au contenu semblable à celui d'Amazon, à une différence près. Quand l'e-commerçant impose le changement d'identifiant, Netflix le recommande seulement. Il demande ainsi à ses utilisateurs de passer par la procédure d'oubli de mot de passe, qu'il est facile de rater. L'envoi du message a été révélé par Adweek, et confirmé à The Register par le service, qui en aurait également envoyé en juin dernier.

Comme les deux autres entreprises, Netflix n'indique pas le nombre d'utilisateurs concernés par cette mesure. Toujours est-il qu'il semble que les principaux acteurs du Net ont pris l'habitude d'explorer le contenu des fuites de données récemment mises au jour. En septembre, Spotify nous affirmait d'ailleurs contrôler régulièrement les sites où peuvent apparaître le contenu de ces fuites, pour les comparer à sa propre base.

Un nouvel océan de données personnelles

Il faut dire que, ces derniers mois, les révélations de fuites de données sont nombreuses. Si certaines datent de plusieurs années, elles n'en restent pas moins une actualité importante pour ceux qui doivent s'assurer de la sécurité de leurs utilisateurs. Parmi elles, la remontée de 68 millions d'identifiants de comptes Dropbox vieux de quatre ans a établi un premier record... Même si les informations étaient bien obsolètes depuis cette époque, le service ayant agi avant leur remontée à la surface.

Le nombre de données disponibles a, en fait, explosé fin septembre avec la confirmation du vol de données de 500 millions d'utilisateurs de Yahoo, que la société a caché pendant deux ans. Sa révélation tardive pourrait d'ailleurs compromettre son rachat par l'opérateur américain Verizon.

Que faire dans ce genre de cas ? Une première étape peut être de comparer ses adresses email avec les listes de comptes publiées, compilées par le chercheur Troy Hunt via le site Have I been pwned?. On pourra également diversifer les mots de passe sur les services où vous savez utiliser les mêmes identifiants, pour éviter qu'une fuite de l'un devienne un problème sur d'autres.

Pour vous y aider, vous pouvez consulter notre guide complet sur la conception d'un bon mot de passe. Nous avons également concocté un large dossier sur les gestionnaires dédiés, un moyen désormais très pratique de sécuriser ses comptes en ligne, avec un large choix allant de la solution open source locale (comme KeePass) aux services en ligne avec fonctions proactives (comme 1Password, Dashlane ou LastPass).

Commentaires (36)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







keralan a écrit :



L’option sur Amazon.fr n’apparait que si on a activé la double authentification par Amazon.com&nbsp; <img data-src=" />



Testé ce jour…









Gnppn a écrit :



J’ai détaillé le chemin de lien en lien dans l’article, c’est par là que j’y ai accédé.

Merci à tous pour les retours.&nbsp;<img data-src=" />





Je rejoins Keralan, l’option n’apparait qu’après avoir activé la double authentification via le site US, car auparavant je n’avais que 3 choix (Nom, Email et password), une fois l’authentification activée via amazon.com j’ai bien le 4ème choix (d’ailleurs l’interface utilisateur est sensiblement changé).



Ou alors manque de bol, quand j’ai essayé ce matin en voyant l’article c’était pas dispo et ils ne l’ont implémenté qu’après.


votre avatar

Tu ne fournis aucun identifiant, tu mets ton mail et ça va vérifier s’il existe dans les logs.

votre avatar

Perso, impossible de me co à mon compte.

Forçage de amazon ?



J’ai dû le changer via le “mot de passe oublié”.



Bon, cela est fait…à voir si je passe par la double authentification.

votre avatar

Ton mail n’est pas un identifiant ?

votre avatar







Jarodd a écrit :



Ton mail n’est pas un identifiant ?





Ton mail n’est pas un secret. Le fait que quelqu’un connaisse ton adresse mail ne constitue aucune menace sur le plan de la sécurité. Tout au pire, tu recevras du spams.



Ce qui est plan gênant, c’est que quelqu’un connaisse ton mot de passe (sans forcément connaître l’identifiant qui y est lié). Car cela peut alimenter un dictionnaire en vue de futures attaques.



Donc :




  • Vérifier si mon adresse mail est dans une base hackée =&gt; Aucun risque, sauf peut-être du spam.

  • Vérifier si mon mot de passe est sûr sur un site =&gt; Très risqué



    Une autre chose de gênante est la divulgation de tes données sociales quand elles peuvent-être liées à un identifiant (date de naissance naissance , adresse, nom de ta mère, numéro de tel, nom de ton animal de compagnie, etc… en association de ton email) Car cela permet de répondre aux questions complémentaires.


votre avatar

Il manque le mot de passe.

votre avatar

Ce genre de mail, ça sent la grosse fuite de données personnelles qu’on va nous apprendre dans 6 mois “à la Yahoo”&nbsp;<img data-src=" />&nbsp; &nbsp;Je vais changer mon password de ce pas&nbsp;<img data-src=" />

votre avatar

Je confirme qu’une fois l’activation de la 2x authentification sur le site .com l’option apparait ensuite dans les préférences de mon compte FR.

Je précise bien qu’elle n’avais jamais été activée.

votre avatar

Et donc si ton e-mail est présent dans le fichier, il y a le mdp correspondant (peut-être en clair). En utilisant ce service, tu donnes l’information que ton e-mail est actif et que tu te soucies du hackage. Sur le total de comptes présents dans les leaks, ça peut permettre d’isoler 1% de comptes actifs. Si en plus tu utilises les mêmes identifiants, c’est jackpot car on peut demander un changement de mot de passe qui te sera envoyé par e-mail. Donc je préfères ne pas utiliser ce service et agiter un drapeau “compte piraté” au dessus de ma tête.

votre avatar

Qui peut être dans le fichier derrière le service. Voir mon message précédent, ce service peut juste permettre de voir quels comptes sont actifs parmi la masss récupérée (c’est ce qui donne de la valeur à ce hack car si 100% des comptes sont inactifs, c’est un peu loupé <img data-src=" />)

votre avatar

Non…

Les bases utilisées sont connues du publique, par conséquent toute adresse remontée est déjà potentiellement hackée. Ce serait de la folie que de laisser un compte avec les mêmes identifiants.



Personnellement, mes identifiants remontent depuis au moins 11 bases distinctes.



Pour certaines bases, je ne les utilise plus depuis plusieurs années voir même ne les ai jamais vraiment utilisé, je me suis juste inscrit dessus une fois pour voir à quoi ça ressemblait.

Pour d’autres bases, j’avais déjà changé mon mot de passe entre la date du hack et sa publication.

votre avatar







Jarodd a écrit :



Le problème de ce type de services, c’est qu’il faut fournir ses identifiants pour avoir la réponse. Et on ne sait pas si c’est stocké ensuite, comment, par qui, si c’est sécurisé,… Peu de personnes savent que c’est l’initiative d’un chercheur (ce qui ne garantit pas la sécurité des données).





D’autant plus sujet à caution que certaines de ses bases étaient -vendues- et des sommes plutôt rondelettes. Je veux bien imaginer que les gars a pu se les procurer gratos par contre ca veut dire qu’il trempe dans des circuits un peu louche. Autant demander à des comptables véreux de faire la certification des boites du CAC40. Oh wait !



PS apres je trouve que verifier une adresse mail parmi 1 milliards 800 millions (1,801,838,008

pwned accounts)&nbsp; est supeeeer rapide. Ca doit être en plus un DBA super doué avec une puissance de calcul hors pair.


votre avatar

Je dois être “nul”, mais j’ai jamais trouvé cette fonction dans mes paramètres de sécurité Amazon. J’ai pas d’option de sécurité avancée.



Ou alors c’est pas encore implémenté ou destiné au premium.

votre avatar



listes de comptes publiées, compilées par le chercheur Troy Hunt via le site Have I been pwned?.





Le problème de ce type de services, c’est qu’il faut fournir ses identifiants pour avoir la réponse. Et on ne sait pas si c’est stocké ensuite, comment, par qui, si c’est sécurisé,… Peu de personnes savent que c’est l’initiative d’un chercheur (ce qui ne garantit pas la sécurité des données).

votre avatar

Idem, je ne vois rien sur Amazon pour la double identification.

votre avatar

Amazon… Le seul site sur lequel ma CB est enregistrée, et qui ne demande aucun code sécure (SMS) pour valider un achat 1-click <img data-src=" />

votre avatar

Faut passer par Amazon.com pour l’option de double authentification.

votre avatar

+1



La pub “Premium” aussi est bien chiante car tu peux t’y abonner sans trop faire exprès.

Puis le fait que les chèques-cadeaux sont utilisés par défaut c’est chiant aussi.

votre avatar

Des services qui n’automatisent pas la suppression d’un compte par l’utilisateur. Je dis ça en passant sur un article qui parle des GAFAM et des NATU soit-disant à la pointe des algorithmes et de la simplification des tâches.



(je dis ça, je dis rien)

votre avatar

en esperant que les gestionnaires de mots de passe en ligne, lastpass et consorts,ne se fassent jamais piratés….

difficile aujourd’hui de s’en passer..

votre avatar







Jarodd a écrit :



Le problème de ce type de services, c’est qu’il faut fournir ses identifiants pour avoir la réponse. Et on ne sait pas si c’est stocké ensuite, comment, par qui, si c’est sécurisé,… Peu de personnes savent que c’est l’initiative d’un chercheur (ce qui ne garantit pas la sécurité des données).





Le site me demande en aucun cas les mots de passe mais une adresse email ou un nom de compte (qui n’est pas secret). Il n’y a aucune raison que le site stocke l’adresse que tu cherches à vérifier, il ne stocke que les bases hackées. Quand à savoir si les adresses entrées sont revendues pour le spam, c’est assez facile à vérifier (et ça se saurait si c’était le cas).


votre avatar

Idem je ne trouve pas l’option double authentification sur Amazon.fr (et je ne suis pas aveugle, dans l’article il est bien question de Amazon.fr). Je connaissais l’astuce visant à passer par Amazon.com mais sérieusement, qu’est-ce qui les empêche de mettre cette option aussi sur la plateforme en France ?!

votre avatar

Pour info, l’authentification à deux facteurs mentionnée ce matin dans l’article concerne bien Amazon.fr, à l’endroit indiqué. Je viens de revérifier et c’est bien disponible à cette adresse. Le lien a été ajouté.

votre avatar







Gnppn a écrit :



Pour info, l’authentification à deux facteurs mentionnée ce matin dans l’article concerne bien Amazon.fr, à l’endroit indiqué. Je viens de revérifier et c’est bien disponible à cette adresse. Le lien a été ajouté.





Si je clique sur ton lien j’ai bien une page mais aucun paramètre dans celle ci.


votre avatar

Zut je ne peux plus éditer :

http://i.imgur.com/wxryp6E.jpg

votre avatar

Pareil pour moi, je n’ai pas cette option. Quand je clique sur le lien j’ai une page vide.

votre avatar

Au lancement, l’activation de l’option était réservée à Amazon.com, ce qui l’activait automatiquement sur Amazon.fr, comme nous l’indiquions. &nbsp;Est-ce que cette page fonctionne mieux pour vous ?

votre avatar

Sur Amazon.com la page fonctionne.

votre avatar

Je confirme, la page Américaine semble mieux fonctionner de mon coté (je n’ai pas poussé la double authentification jusqu’au bout pour ne pas risquer de bloquer mon compte en raison des versions différentes entre la page Française et la page Américaine).



Sur la page Française j’ai le même résultat que MaiEolia ci-dessus

Et sur la page Américaine, j’ai ça.



A noter : Je suis Premium sur Amazon.fr

votre avatar

Bien sure ils ne se sont pas fait pirater …



J’attends le tour de Google et Microsoft pour bien me marrer.



Get on the CLOUDDDDDD , NOW !

votre avatar

<img data-src=" />

votre avatar

L’option sur Amazon.fr n’apparait que si on a activé la double authentification par Amazon.com&nbsp; <img data-src=" />



Testé ce jour…

votre avatar

Via ton lien aucun soucis, par contre la vraie question : Tu y accèdes comment via le menu “votre compte”, car j’ai vérifié, je n’ai pas accès à cette page via mes options de compte.

votre avatar

Pour moi la page fonctionne, mais je ne reçois jamais le SMS …&nbsp;<img data-src=" />

votre avatar

J’ai détaillé le chemin de lien en lien dans l’article, c’est par là que j’y ai accédé.

Merci à tous pour les retours.&nbsp;<img data-src=" />

votre avatar

sur amazon.com, renseigné en étape 1, en étape 2 il propose un 2e n° de tél <img data-src=" /> (ou une appli authentificator). Bref un n° renseigné, ça me va.

Après Spotify, Amazon et Netflix lancent une vague de réinitialisation de mots de passe

  • Amazon recommande d'activer une double sécurité

  • Netflix encourage le changement de mot de passe

  • Un nouvel océan de données personnelles

Fermer