Dans un email envoyé à une partie de ses membres, Spotify leur demande de changer de mot de passe. La société indique avoir trouvé des combinaisons équivalentes dans une fuite récente.
Les fuites s'enchainent avec des conséquences de plus en plus étendues. Ces derniers mois, plusieurs services ont ainsi vu des données clients publiées en ligne, menant à des réinitialisations de mots de passe et la promesse de mieux les protéger à l'avenir. De MySpace à Dropbox, les cas se sont multipliés.
Spotify confirme l'envoi d'emails à certains utilisateurs
L'une des conséquences devenues habituelles est le piratage de comptes d'autres services, sur lesquels les internautes utilisent les mêmes identifiants. Une pratique répandue qui force certaines entreprises à surveiller les fuites de tiers, pour s'assurer que leurs propres comptes ne deviennent pas vulnérables par ce biais. Depuis hier, comme l'a d'abord révélé Motherboard, Spotify demande à une partie de ses utilisateurs de réinitialiser leurs mots de passe, par prévention.
Contacté, Spotify nous confirme l'envoi d'emails à certains utilisateurs pour changer leur mot de passe, sans précision sur leur nombre. La société explique surveiller les lieux habituels où des informations peuvent apparaître (comme Pastebin) quand une fuite de données est avérée. Dans son message aux clients concernés, elle indique qu'il s'agit d'une procédure préventive.
Un enchainement direct avec la réapparition de données de Dropbox
Spotify n'a pas souhaité nous indiquer quelle fuite a mené à cette vague de réinitialisation chez eux. L'entreprise préfère évoquer « une démarche proactive » de son équipe de sécurité. La nouvelle la plus récente à ce sujet concerne Dropbox, dont on a appris cette semaine que 68 millions de couples identifiant-mot de passe ont été publiés. Ceux-ci datent de 2012, l'entreprise nous ayant indiqué hier qu'aucune activité frauduleuse liée à cette publication n'avait été détectée.
Dropbox a tout de même forcé un changement de mot de passe sur les comptes dont les informations n'avaient pas été modifiées depuis l'époque. Une nouvelle fois, c'est l'occasion de rappeler les conseils habituels, à savoir d'éviter d'utiliser les mêmes identifiants et mots de passe sur plusieurs services, d'activer l'identification à deux étapes quand cela est possible, voire de générer des mots de passe forts via un gestionnaire de mots de passe, comme KeePass.