Spotify déploie une authentification à deux facteurs limitée

Par Vincent Hermann

Le 12 juillet à 09h30
Sécurité
1 min

Spotify fait partie des services qui n’ont jamais cru bon jusqu’à présent d’ajouter des facteurs multiples à l’authentification. Il s’agit pourtant aujourd’hui d’un élément fondamental de sécurité, permettant d’éviter l’usurpation simple d’un compte par le vol des identifiants.

Comme on peut le voir sur Reddit (ici et ), des internautes se voient demander un code à six chiffres envoyé par email en cas de nouvelle connexion. Cependant, bien que la mesure soit appréciable, l’implémentation actuelle est étrange.

Selon les témoignages, la demande du code n’est ainsi pas systématique. En outre, la fonction a été imposée : aucune option n’a été activée, et aucune ne permet de l’enlever. Enfin, et surtout, l’email est la seule méthode fournie pour réaliser l’authentification à deux facteurs. Un constat d’autant plus curieux que cette dernière est proposée depuis longtemps aux artistes, avec plusieurs méthodes possibles, dont les applications TOTP (de type Authenticator).

Nous avons demandé des précisions à Spotify et mettrons à jour cette actualité si l’entreprise nous répond.

Commentaires (21)


Mandrain Abonné
Le 12/07/2024 à 09h36
A coup sur c'est un choix réfléchi pour limiter le partage de compte !
dvr-x Abonné
Le 12/07/2024 à 12h10
Ca fonctionne comment avec un compte famille ? Parce que sans parler du partage, je ne sais pas comment ca fonctionne sous Spotify, mais sous Deezer, on n'entre pas une adresse mail par membre de la famille.
NiCr Abonné
Le 12/07/2024 à 12h21

dvr-x

Ca fonctionne comment avec un compte famille ? Parce que sans parler du partage, je ne sais pas comment ca fonctionne sous Spotify, mais sous Deezer, on n'entre pas une adresse mail par membre de la famille.
Le compte famille sous Spotify c'est vraiment un truc purement côté facturation.

Appartenir à une famille ou non ne change absolument rien à l'usage de ton compte, tu restes totalement maître de tout.
dvr-x Abonné
Le 12/07/2024 à 13h41

NiCr

Le compte famille sous Spotify c'est vraiment un truc purement côté facturation.

Appartenir à une famille ou non ne change absolument rien à l'usage de ton compte, tu restes totalement maître de tout.
Ok merci a @Thanger et toi, je l'ignorais. C'est donc totalement différent de Deezer niveau fonctionnement !
Thanger Abonné
Le 12/07/2024 à 12h54

dvr-x

Ca fonctionne comment avec un compte famille ? Parce que sans parler du partage, je ne sais pas comment ca fonctionne sous Spotify, mais sous Deezer, on n'entre pas une adresse mail par membre de la famille.
Chacun a un compte indépendant, et le compte payeur accorde son abonnement à une liste de comptes (max 6).
Iroise29 Abonné
Le 12/07/2024 à 19h25

Thanger

Chacun a un compte indépendant, et le compte payeur accorde son abonnement à une liste de comptes (max 6).
Avec Deezer aussi, chaque membre peut avoir son propre compte, sous le règne de l'administrateur.
C'est une fonctionnalité qui existe depuis 2 ans environ
swiper Abonné
Le 12/07/2024 à 09h38
Qui a parlé des tests en production ??
Que celui qui est au fond à gauche se dénonce ! :-D
NiCr Abonné
Le 12/07/2024 à 11h52
Ça s'appelle une canary release, ça n'a rien d'exceptionnel ou même problématique.
linconnu
Le 12/07/2024 à 10h13
Perso je suis contre les authenfications à 2 facteurs car ça bloque aussi les vrais propriétaires, il suffit qu'il y ait un problème avec le second facteur.
pofilo Abonné
Le 12/07/2024 à 10h45
Euh !?
Ca serait le même raisonnement de ne pas mettre de mot de passe sur son téléphone ou ordinateur pour ne pas être bloqué si on l'oublie (alors qu'on est le propriétaire légitime).
Ou encore de ne pas mettre de serrure sur sa porte d'entrée si jamais on perds la clé.

Non, la double authentification est un excellent mécanisme.
Et les gestionnaires de mots de passe qui se respectent les gèrent parfaitement.
linconnu
Le 12/07/2024 à 13h58

pofilo

Euh !?
Ca serait le même raisonnement de ne pas mettre de mot de passe sur son téléphone ou ordinateur pour ne pas être bloqué si on l'oublie (alors qu'on est le propriétaire légitime).
Ou encore de ne pas mettre de serrure sur sa porte d'entrée si jamais on perds la clé.

Non, la double authentification est un excellent mécanisme.
Et les gestionnaires de mots de passe qui se respectent les gèrent parfaitement.
La double authentification ne se gère pas avec un gestionnaire de mot de passe car le second facteur est généralement aléatoire (code envoyé par mail, SMS ou dans une application).
Thanger Abonné
Le 12/07/2024 à 15h26

linconnu

La double authentification ne se gère pas avec un gestionnaire de mot de passe car le second facteur est généralement aléatoire (code envoyé par mail, SMS ou dans une application).
Si, dans les bon gestionnaires de mot de passe, tu peux enregistrer la clé qui sert à générer le TOTP.
Le gestionnaire de mot de passe te génère le TOTP quand tu le souhaites, grâce à la clé et la date actuelle.
Modifié le 12/07/2024 à 15h26

Historique des modifications :

Posté le 12/07/2024 à 15h26


Si, dans les bon gestionnaires de mot de passe, tu peux enrgistrer la clé qui sert à générer le TOTP.
Le gestionnaire de mot de passe te génère le TOTP quand tu le souhaites, grâce à la clé et la date actuelle.

felicienfrancois Abonné
Le 12/07/2024 à 16h05

Thanger

Si, dans les bon gestionnaires de mot de passe, tu peux enregistrer la clé qui sert à générer le TOTP.
Le gestionnaire de mot de passe te génère le TOTP quand tu le souhaites, grâce à la clé et la date actuelle.
Donc le "bon" gestionnaire de mot de passe te permet de bypasser la double authent en centralisant les 2 authent au même endroit ?
Triton Abonné
Le 12/07/2024 à 16h32

felicienfrancois

Donc le "bon" gestionnaire de mot de passe te permet de bypasser la double authent en centralisant les 2 authent au même endroit ?
Ou tu peux séparer en 2 bases différentes avec 2 mots de passe maîtres différents…
wanou Abonné
Le 12/07/2024 à 18h55

felicienfrancois

Donc le "bon" gestionnaire de mot de passe te permet de bypasser la double authent en centralisant les 2 authent au même endroit ?
Le fait que le gestionnaire de mot de passe gère la double authentification n'en casse pas l'intérêt car le deuxième facteur TOTP étant variable, un intercepteur ne peut pas le rejouer.
Pinailleur Abonné
Le 15/07/2024 à 11h32

felicienfrancois

Donc le "bon" gestionnaire de mot de passe te permet de bypasser la double authent en centralisant les 2 authent au même endroit ?
Le problème n'est pas la centralisation du mot de passe ET du secret du second facteur, le problème c'est le vol de mot de passe, ou d'une base de données d'un site où tu as un compte.

Le gestionnaire de mdp permet d'en avoir un différent par site donc le deuxième problème est réglé, mais pas le premier. Pour le premier il te faut un code variable : par exemple TOTP. Donc maintenant on peut parler d'un potentiel problème, qui ne concerne clairement pas un utilisateur lambda : je suis qqun sous surveillance, on essai de voler mes accès tout le temps, il me faut une gestionnaire à côté, un coffre pour mes secrets TOTP séparé (sans parler de clé de sécurité etc.).

Donc centraliser les deux, pour un utilisateur « simple » n'est pas un problème et règle ceux qu'il a réellement.
billylebegue Abonné
Le 12/07/2024 à 10h42
Question sans rapport avec l'article désolé, mais avec son thème. Pourquoi l'étiquette (tag) de l'article est affichée "sécu" dans "en continu" mais "sécurité" sur l'article ?
Idem pour "hard" qui devient "hardware"
NiCr Abonné
Le 12/07/2024 à 11h54
A première vue il existe une version courte des tags et une version longue, en fonction d'où est affiché le tag.

Si tu vas sur un tag, tu peux voir les deux versions : https://next.ink/category-page/?category=soci%C3%A9t%C3%A9-num%C3%A9rique&id=11
Modifié le 12/07/2024 à 11h54

Historique des modifications :

Posté le 12/07/2024 à 11h54


A première vue il existe une version courte des tags et une version longue, en fonction d'où est affiché le tag.

Si tu vas sur un tag, tu peux voir les deux versions : https://next.ink/category-page/?category=soci%C3%A9t%C3%A9-num%C3%A9rique&id=11

rm Abonné
Le 14/07/2024 à 23h16
Déploie le son non compressé s’il te plait plutôt Spotify 🙄
whitemoon
Le 15/07/2024 à 14h24
Je ne comprends pas vraiment le déploiement du 2FA tout azimut. La sécurité vient avec son lot de contrainte (je me connecte chaque jour sur Spotify sur mon ordinateur professionnel avec mon login+pwd ; ce serait très pénible de devoir gérer un mot de passe temporaire chaque jour) et doit donc être proportionnée aux enjeux.

Un hacker fait quoi avec un compte Spotify piraté ? Il écoute de la musique gratuitement jusqu'à ce que l'utilisateur légitime retrouve son compte ? Il détruit toutes les playlists ? Je ne vois pas quel élément crucial mérite le 2FA dans ce cas.
fred42 Abonné
Le 15/07/2024 à 15h07
Généralement, le 2FA n’oblige pas à utiliser le second facteur à chaque fois sur un même appareil/navigateur. Cela fait que tu n'es pas trop embêté, juste 1 fois tous les 6 mois pour chaque appareil.

Ici, sur Next, même sans 2FA, tu dois te reconnecter plus souvent.

Sinon, l'attaquant peut polluer tes préférences : Hard rock si tu écoutes surtout du classique et réciproquement ou bien du Chantal Goya pour remplacer du Johnny Hallyday. :D
Fermer