Si vous utilisez Spotify, c’est peut-être le bon moment pour vérifier la sécurité de votre inscription : samedi dernier (23), une liste contenant les données d’accès et des informations complémentaires de centaines (peut-être milliers) de comptes sur le service a été publiée dans Pastebin.
Les informations proviennent de TechCrunch, qui prétend avoir contacté plusieurs utilisateurs à partir des courriels trouvés dans la liste pour confirmer la validité des données qui y sont fournies. Et elles le sont : les personnes qui ont répondu ont non seulement affirmé avoir des comptes Spotify, mais ont également confirmé l’existence d’anomalies qui suggèrent un accès abusif à ces comptes.
De nombreux utilisateurs ont remarqué que des chansons inconnues sont apparues dans la liste des titres entendus récemment. D’autres ont découvert des chansons qu’ils n’avaient jamais entendues, ajoutées à leurs listes de lecture. Il y a eu des cas plus graves : certaines personnes ont essayé d’accéder au service, mais n’ont pas pu le faire parce que le courriel ou le mot de passe enregistré avait été modifié.
Outre ces cas, il existe des rapports d’utilisateurs qui n’ont remarqué des anomalies que lors de la réception de courriels confirmant la modification des données d’enregistrement sans que cette procédure ait été effectuée par eux.
Exemples de rapports trouvés sur Twitter :
La manière dont ces données ont été divulguées n’est pas claire. Bien qu’il ait dû faire face à des problèmes de sécurité l’année dernière, Spotify a indiqué que ses serveurs n’ont subi aucune violation récemment. Une hypothèse est que ces données ont été capturées par des mécanismes d’espionnage, en se connectant à de fausses pages Spotify ou via des logiciels malveillants, ce qui ne serait pas difficile : un intrus peut proposer une application malveillante qui passe par une interface Spotify plus intuitive, juste pour donner un exemple.
Ce que l’on sait, c’est que la liste est bien organisée et contient des milliers de comptes. Outre l’adresse électronique et le mot de passe, on trouve parmi les informations connexes le type de compte (Premium, Famille, etc.), la date de renouvellement et le pays d’origine de l’abonnement ? la liste contient des comptes de différentes régions du monde.
Un représentant de Spotify a expliqué à TechCrunch que la société surveille régulièrement Pastebin et d’autres sites. Lorsque des informations provenant des utilisateurs du service sont trouvées sur ces pages, la première étape de l’entreprise consiste à en confirmer l’authenticité. Si les données sont jugées légitimes, ce n’est qu’à ce moment-là que les utilisateurs concernés sont contactés pour prendre les mesures appropriées.
Ce processus peut prendre du temps (il ne devrait pas, mais finalement). Cela explique peut-être le fait que, jusqu’à présent, il n’existe aucune trace des notifications Spotify concernant ce problème. Comme nous l’avons déjà expliqué, plusieurs utilisateurs ont remarqué des anomalies dans leurs comptes de diverses manières, mais en aucun cas il n’y a eu de contact direct de la part de la société.
Face à cela, il convient d’être proactif. Vous ne pouvez pas vérifier si votre compte a été affecté car la page dans Pastebin n’est pas ouvertement annoncée pour protéger les utilisateurs listés. La meilleure chose à faire est donc de changer votre mot de passe maintenant ou, du moins, de bien regarder votre compte : si vous remarquez quelque chose d’étrange, réinitialisez votre mot de passe dès que possible.
Si vous utilisez les mêmes login et mot de passe sur d’autres sites populaires (pratique non recommandée, mais très courante), pensez également à modifier vos données sur ces services.
Malheureusement, de telles listes ne sont pas rares. Ce qui est étrange dans cette histoire, c’est que ces données sont généralement vendues ou échangées contre des intrus sur des forums et des pages obscures. La raison pour laquelle la liste a été rendue publique est qu’il s’agit d’un mystère.
