Moins de 24 heures après le lancement de Disney+ aux États-Unis et dans plusieurs autres pays, des milliers d’identifiants volés se revendaient déjà illégalement sur des forums spécialisés, a révélé ZDnet dans une enquête publiée le 16 novembre 2019.
Disney+ est la nouvelle plateforme de vidéo à la demande par abonnement (SVOD) lancée par le groupe Disney le 12 novembre aux États-Unis, Canada, Nouvelle-Zélande et Pays-Bas. D’après la multinationale, le service aurait séduit 10 millions d’abonnés en une journée, dépassant ses projections les plus optimistes.
C’est parmi eux que des identifiants et mots de passe ont été subtilisés. ZDnet est parvenu à trouver, sur des forums dédiés et des sites de reventes accessibles sur le dark web, de nombreuses propositions de revente d’abonnements Disney+, entre 3 dollars et 11 dollars (un abonnement officiel coûte 6,99 dollars/mois). La BBC a retrouvé environ 4 000 identifiants et mots de passe Disney+ à vendre. Les mots de passe ont ensuite été changés pour être revendus.
Sur Twitter et Reddit, plusieurs internautes se sont effectivement plaints d’avoir vu leur compte piraté, à peine quelques heures suivant leur inscription.
https://twitter.com/brandoncult/status/1194312851306864640
Comment des comptes Disney+ ont-ils pu être hackés ?
Que s’est-il passé pour que ces identifiants aient pu être obtenus si rapidement ? Tout porte à croire qu’il ne s’agit pas d’une faille au niveau de Disney, mais plutôt de fuites passées. « Disney prend très au sérieux la sécurité des données de nos utilisateurs, et nous n’avons constaté aucune fuite de données sur Disney+ », a affirmé un porte-parole auprès de la BBC.
Bien que ce soit une pratique vivement (vivement!) déconseillée, de nombreux internautes utilisent malheureusement les mêmes identifiants (généralement une adresse mail) et mots de passe sur plusieurs sites différents. Or si l’un d’entre eux a été compromis, les comptes qui existent ailleurs deviennent potentiellement vulnérables.
Il convient tout de même de noter que Disney+ n’est pas exempt de tout reproche : d’une part, la plateforme ne propose pas d’option de double authentification. De plus, elle ne donne pas la possibilité à l’utilisateur principal de déconnecter en un clic tous les autres comptes, ce qui est pourtant une fonctionnalité utile en cas de tentative de connexion inconnue.
Si vous avez un doute sur la sécurité de vos données, il existe quelques méthodes pour savoir si vos identifiants figurent dans des bases qui ont été piratées par le passé. L’une des plus connues est de passer par le site HaveIBeenPwned, qui est tenu par Troy Hunt, un informaticien reconnu dans le milieu de la sécurité informatique. Vous renseignez votre adresse mail, et le site vous dit si votre compte a déjà été compromis dans des fuites de données. Une extension baptisée PassProtect pour Google Chrome permet aussi de tester la sécurité de votre mot de passe, et savoir s’il a déjà été piraté.
Attention toutefois : si votre mail ne figure pas dans les listes, cela ne veut pas dire pour autant que vous êtes 100 % sortis d’affaire. Le mieux est de toujours activer la double authentification (quand elle est proposée) sur les services que vous utilisez, et pas forcément de changer tout le temps vos mots de passe, contrairement à ce que l’on pourrait penser.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.