Certains comptes aux États-Unis et dans d’autres pays ont été envahis et mis en vente sur le Darkweb à partir de 3 euros, voire offerts gratuitement. Certaines personnes perdent leur accès parce que quelqu’un d’autre a changé leur adresse électronique et leur mot de passe. Disney nie toute violation de la sécurité. Les utilisateurs peuvent réutiliser des mots de passe ou être espionnés par des enregistreurs de frappe.
ZDNet a découvert des milliers de comptes Disney+ offerts gratuitement sur des forums de pirates ou vendus à des prix compris entre 3 et 11 euros ; l’abonnement coûte 6 euros par mois aux États-Unis.
Dans certains cas, l’attaquant accède au compte, se déconnecte de tous les appareils et change d’adresse électronique et de mot de passe. Dans d’autres cas, le compte est seulement partagé – ce qui est autorisé par Disney+ – sans modification des identifiants.
Disney déclare dans une déclaration à la BBC qu’elle “prend très au sérieux la confidentialité et la sécurité des données de nos utilisateurs et rien n’indique qu’il y ait une faille de sécurité chez Disney+.
Certaines personnes ont en fait réutilisé des mots de passe ; deux utilisateurs l’ont avoué à ZDNet. D’autres disent qu’ils avaient des mots de passe uniques pour leurs comptes Disney+, et pourtant ils ont été piratés.
Dans le cas de ceux qui ont réutilisé des mots de passe, l’explication est simple : l’attaquant a eu accès au compte en utilisant des combinaisons de courrier électronique et de mot de passe divulguées sur d’autres sites. Dans d’autres cas, l’ordinateur de l’utilisateur peut avoir été infecté par un keylogger ou un logiciel malveillant qui vole des informations.
Disney+ et Netflix n’ont pas d’authentification à deux facteurs
D’une manière ou d’une autre, Disney doit mettre en place une authentification à deux facteurs pour éviter ce genre de problème. Netflix n’offre pas non plus ce dispositif de sécurité qui nécessite un code supplémentaire, par SMS ou application, pour se connecter.
La situation est plus grave pour Disney+, car les références sont utilisées pour d’autres services tels que les parcs d’attractions, le Disney Vacation Club et le Disney Store. Les clients sont contraints d’attendre des heures au téléphone ou en chat, parfois sans que l’accès au compte ne soit rétabli.
Disney+ a dépassé les 10 millions d’utilisateurs un jour après son lancement. Le service a connu des problèmes techniques à ses débuts, notamment des échecs de connexion et un ralentissement de la diffusion en continu. La société explique à The Verge que le problème ne vient pas d’Amazon, qui fournit la plateforme dans le Cloud, mais de l’architecture de l’application : “il y avait certaines limites dans l’architecture et elles sont devenues visibles, mais ne l’étaient pas avant.
En France, l’arrivée de Disney+ est prévue pour novembre 2020.