Le magazine Newsweek explique que la plateforme de streaming musical Spotify a été la cible d'un piratage ayant permis aux hackers de s'emparer de nombreuses données sensibles rattachées à des centaines de comptes dévoilées ensuite sur la toile. Explications.

Environ un millier de mots de passe et adresses e-mails d'utilisateurs Spotify ont été divulgués sur Pastebin par des pirates informatiques lors d'une attaque s'étant déroulée en début de mois. De nombreuses personnes personnes directement concernées par ce vol de données ont confirmé les informations auprès de Newsweek.

Le magazine tiens ces dernières informations de 9 internautes dont les informations personnelles ont été publiées sur la toile. Une des victimes du vol annonce avoir été privée du service trois jours durant, une autre affirme avoir été capable de tracer son adresse jusqu'en Russie. Cela n'est guère étonnant, le pays regroupant une grande concentration de pirates formant une plateforme importante dans la collecte de données privées.

L'année dernière, un réseau de hackers russes a été démantelé après avoir collecté près d'1,2 milliard d'identifiants et mots de passe selon le New York Times. Les personnes ayant été touchées par le piratage de Spotify déclarent ne pas avoir été directement alertés de cette fraude, certains ayant du annoncer eux-mêmes à l'entreprise suédoise que leurs comptes avaient été piratés.

Les réponses reçues de la part du service de streaming avaient, selon les personnes abusées, tendance à ne pas faire entendre que le piratage concernait plusieurs personnes laissant supposer qu'il s'agissait d'un cas isolé. Ce qui n'est clairement pas le cas, vu le nombre de données dévoilées sur Internet. Peut-être que la minimisation de l'affaire cherchait à ne pas effrayer les futurs clients puisque nous sommes toujours plus nombreux à souscrire à un abonnement.

Qui est l'auteur du piratage et pourquoi a-t-il décidé de dévoiler publiquement (technique appelée doxxing) les informations de ces utilisateurs de Spotify ? nul ne le sait. C'est pourtant une pratique habituelle dans une opération de ce genre que de justifier ses actes par le biais d'un message ici, ce n'est pas le cas.

Au cours de la semaine suivant l'attaque s'étant déroulée le 2 novembre, Spotify n'a pas non plus jugé bon procéder à une déclaration sur son blog, laissant ainsi dans l'ignorance ses 650 000 abonnés français et 20 millions d'abonnés mondiaux. Depuis, la plateforme s'est exprimée auprès de Newsweek en prenant soin de nier tout piratage :

Spotify n'a pas été piraté et nos dossiers clients sont protégés. Les données compromises proviennent d'une vieille liste correspondant à un ancien service. (…) Certaines personnes ont tendance à utiliser les mêmes identifiants et mots de passe pour différents services et nous encourageons ces personnes à modifier sans plus attendre leurs identifiants de connexion.

Pour vérifier que vous ne faites pas partie des comptes piratés, rendez-vous ici ou contactez directement Spotify par e-mail.

via