Spotify : 47 000 comptes français piratés !

Une base de données piratée et disponible sur le web abritait des centaines de milliers de mots de passe. Parmi eux, les codes d’accès de 47 000 comptes français. Rien que ça…

Les chercheurs en sécurité informatique sont un peu les explorateurs des temps modernes. Ils écument les Internet à la recherche d’une faille, d’une anomalie, d’une irrégularité. Et parfois, par un pur hasard, ils peuvent tomber sur un véritable trésor de guerre. C’est le cas de Noam Rotem et Ran Locar.

En effet, les deux professionnels sont tombés par hasard sur une base de données de 72 Go, constituée par des pirates informatiques. Elle abritait près de 380 millions de documents, dont pas moins de 400 00 comptes Spotify certifiés. Et mauvaise surprise, puisqu’il figurait dans cette base de données 47 000 comptes d’utilisateurs français.

« Nous avons rapidement établi que ce n’était pas une fuite ou un piratage venant de Spotify car cette base de données appartenait à des tiers qui avaient réussi à accumuler illégalement des emails et mots de passe qui donnaient de vrais accès à ces comptes gratuits et premium », explique Ran Locar, chercheur informatique pour VPN Mentor, site spécialisé dans les comparatifs de VPN.

À lire également : Spotify sort « Sara », une série audio avec Natoo, Virginie Efira et Stéphane de Groodt

Utiliser le même mot de passe, du pain béni pour les hackers

Pour obtenir ces centaines de milliers de mots de passe authentiques et actifs, les hackers ont recours à ce qu’on appelle dans le jargon le « credential stuffing ». Cette technique consiste à deviner le mot de passe d’un compte d’un utilisateur, en se servant d’autres informations à son sujet. Des informations que l’on peut par exemple récupérer depuis les réseaux sociaux, comme Twitter ou Facebook.

À titre d’exemple, si un hacker parvient à s’emparer de votre mot de passe Facebook, il l’essaiera sur d’autres comptes. Il a parfaitement raison de le tenter, puisque de nombreux utilisateurs ont la fâcheuse tendance à recycler le même mot de passe pour plusieurs comptes… « Comme les utilisateurs jonglent très souvent par paresse avec le même mot de passe pour leurs différents comptes en ligne, les cybercriminels font appel à des Botnets, des robots informatiques, pour tester des milliers de combinaisons d’identifiants et de mots de passe sur des services bien connus », affirme dans les colonnes du Parisien Hicham Boudali, expert en cybersécurité pour One Identity.

spotify piratage
Crédits : Pixabay

Une fois que la serrure du compte Spotify a été forcée, les hackers peuvent revendre mots de passe et identifiants sur le dark web. En moyenne, un compte Spotify se monnaye 10 $. Multipliez ce prix par le nombre de comptes, et vous obtenez un beau pactole de 4 millions de dollars. Dans ce cas précis, les pirates avaient toutefois une autre idée en tête : gonfler artificiellement les lectures des titres de certains artistes sur commande.

Quoi qu’il en soit, les chercheurs ont alerté Spotify de leur découverte en juillet 2020. Depuis, le service de streaming a demandé à tous les utilisateurs concernés de réinitialiser leur mot de passe. Pour rappel, il est vivement conseillé de varier et de complexifier vos mots de passe. Aidez-vous d’un gestionnaire de mot de passe afin de ne pas vous emmêler les pinceaux.

Justement le gestionnaire NordPass est en promo en ce moment avec une réduction de -70% pour la formule de deux ans soit 1,27 €/mois (30,40 € à payer en une fois pour être tranquille pendant 2 ans). Non seulement il retient tous vos sésames que ce soit sur ordinateur ou sur mobile, mais il permet aussi de générer des mots de passe solides d’un seul clic…

Source : Le Parisien