Connexion
Abonnez-vous

Spotify déploie une authentification à deux facteurs limitée

Le 12 juillet à 09h30

Spotify fait partie des services qui n’ont jamais cru bon jusqu’à présent d’ajouter des facteurs multiples à l’authentification. Il s’agit pourtant aujourd’hui d’un élément fondamental de sécurité, permettant d’éviter l’usurpation simple d’un compte par le vol des identifiants.

Comme on peut le voir sur Reddit (ici et ), des internautes se voient demander un code à six chiffres envoyé par email en cas de nouvelle connexion. Cependant, bien que la mesure soit appréciable, l’implémentation actuelle est étrange.

Selon les témoignages, la demande du code n’est ainsi pas systématique. En outre, la fonction a été imposée : aucune option n’a été activée, et aucune ne permet de l’enlever. Enfin, et surtout, l’email est la seule méthode fournie pour réaliser l’authentification à deux facteurs. Un constat d’autant plus curieux que cette dernière est proposée depuis longtemps aux artistes, avec plusieurs méthodes possibles, dont les applications TOTP (de type Authenticator).

Nous avons demandé des précisions à Spotify et mettrons à jour cette actualité si l’entreprise nous répond.

Le 12 juillet à 09h30

Commentaires (21)

votre avatar
A coup sur c'est un choix réfléchi pour limiter le partage de compte !
votre avatar
Ca fonctionne comment avec un compte famille ? Parce que sans parler du partage, je ne sais pas comment ca fonctionne sous Spotify, mais sous Deezer, on n'entre pas une adresse mail par membre de la famille.
votre avatar
Le compte famille sous Spotify c'est vraiment un truc purement côté facturation.

Appartenir à une famille ou non ne change absolument rien à l'usage de ton compte, tu restes totalement maître de tout.
votre avatar
Ok merci a @Thanger et toi, je l'ignorais. C'est donc totalement différent de Deezer niveau fonctionnement !
votre avatar
Chacun a un compte indépendant, et le compte payeur accorde son abonnement à une liste de comptes (max 6).
votre avatar
Avec Deezer aussi, chaque membre peut avoir son propre compte, sous le règne de l'administrateur.
C'est une fonctionnalité qui existe depuis 2 ans environ
votre avatar
Qui a parlé des tests en production ??
Que celui qui est au fond à gauche se dénonce ! :-D
votre avatar
Ça s'appelle une canary release, ça n'a rien d'exceptionnel ou même problématique.
votre avatar
Perso je suis contre les authenfications à 2 facteurs car ça bloque aussi les vrais propriétaires, il suffit qu'il y ait un problème avec le second facteur.
votre avatar
Euh !?
Ca serait le même raisonnement de ne pas mettre de mot de passe sur son téléphone ou ordinateur pour ne pas être bloqué si on l'oublie (alors qu'on est le propriétaire légitime).
Ou encore de ne pas mettre de serrure sur sa porte d'entrée si jamais on perds la clé.

Non, la double authentification est un excellent mécanisme.
Et les gestionnaires de mots de passe qui se respectent les gèrent parfaitement.
votre avatar
La double authentification ne se gère pas avec un gestionnaire de mot de passe car le second facteur est généralement aléatoire (code envoyé par mail, SMS ou dans une application).
votre avatar
Si, dans les bon gestionnaires de mot de passe, tu peux enregistrer la clé qui sert à générer le TOTP.
Le gestionnaire de mot de passe te génère le TOTP quand tu le souhaites, grâce à la clé et la date actuelle.
votre avatar
Donc le "bon" gestionnaire de mot de passe te permet de bypasser la double authent en centralisant les 2 authent au même endroit ?
votre avatar
Ou tu peux séparer en 2 bases différentes avec 2 mots de passe maîtres différents…
votre avatar
Le fait que le gestionnaire de mot de passe gère la double authentification n'en casse pas l'intérêt car le deuxième facteur TOTP étant variable, un intercepteur ne peut pas le rejouer.
votre avatar
Le problème n'est pas la centralisation du mot de passe ET du secret du second facteur, le problème c'est le vol de mot de passe, ou d'une base de données d'un site où tu as un compte.

Le gestionnaire de mdp permet d'en avoir un différent par site donc le deuxième problème est réglé, mais pas le premier. Pour le premier il te faut un code variable : par exemple TOTP. Donc maintenant on peut parler d'un potentiel problème, qui ne concerne clairement pas un utilisateur lambda : je suis qqun sous surveillance, on essai de voler mes accès tout le temps, il me faut une gestionnaire à côté, un coffre pour mes secrets TOTP séparé (sans parler de clé de sécurité etc.).

Donc centraliser les deux, pour un utilisateur « simple » n'est pas un problème et règle ceux qu'il a réellement.
votre avatar
Question sans rapport avec l'article désolé, mais avec son thème. Pourquoi l'étiquette (tag) de l'article est affichée "sécu" dans "en continu" mais "sécurité" sur l'article ?
Idem pour "hard" qui devient "hardware"
votre avatar
A première vue il existe une version courte des tags et une version longue, en fonction d'où est affiché le tag.

Si tu vas sur un tag, tu peux voir les deux versions : https://next.ink/category-page/?category=soci%C3%A9t%C3%A9-num%C3%A9rique&id=11
votre avatar
Déploie le son non compressé s’il te plait plutôt Spotify 🙄
votre avatar
Je ne comprends pas vraiment le déploiement du 2FA tout azimut. La sécurité vient avec son lot de contrainte (je me connecte chaque jour sur Spotify sur mon ordinateur professionnel avec mon login+pwd ; ce serait très pénible de devoir gérer un mot de passe temporaire chaque jour) et doit donc être proportionnée aux enjeux.

Un hacker fait quoi avec un compte Spotify piraté ? Il écoute de la musique gratuitement jusqu'à ce que l'utilisateur légitime retrouve son compte ? Il détruit toutes les playlists ? Je ne vois pas quel élément crucial mérite le 2FA dans ce cas.
votre avatar
Généralement, le 2FA n’oblige pas à utiliser le second facteur à chaque fois sur un même appareil/navigateur. Cela fait que tu n'es pas trop embêté, juste 1 fois tous les 6 mois pour chaque appareil.

Ici, sur Next, même sans 2FA, tu dois te reconnecter plus souvent.

Sinon, l'attaquant peut polluer tes préférences : Hard rock si tu écoutes surtout du classique et réciproquement ou bien du Chantal Goya pour remplacer du Johnny Hallyday. :D

Spotify déploie une authentification à deux facteurs limitée

Fermer