Amazon et Netflix ont envoyé des emails à une partie de leurs utilisateurs pour leur demander de changer de mot de passe. Elles disent agir après avoir découvert des couples d'identifiants similaires dans des fuites de données récentes.
Réinitialiser des mots de passe pourrait bien devenir une activité en vogue. Début septembre, Spotify nous confirmait forcer le changement des identifiants de certains de ses utilisateurs, qui les ont réutilisés ailleurs. Ces derniers jours, deux entreprises lui ont emboité le pas : Amazon et Netflix. Toutes deux ont prévenu leurs clients qu'ils doivent changer leurs mots de passe, trouvés dans des fuites récentes.
Amazon recommande d'activer une double sécurité
« Dans le cadre de notre surveillance habituelle, nous avons découvert une liste d'adresses email et de mots de passe mis en ligne. Même si cette liste n'a pas de lien avec Amazon, nous savons que beaucoup de clients réutilisent leur mot de passe sur plusieurs sites » indique ainsi Amazon dans un courriel envoyé à ses clients américains, et confirmé à Venturebeat. Au retour sur le site, le mot de passe devra être changé.
Le cybermarchand recommande d'ailleurs d'activer l'authentification en deux étapes. Pour un compte français, il faut d'abord passer par Amazon.com pour l'activer, comme nous l'expliquions à son arrivée. Une fois en place, l'option est paramétrable sur Amazon.fr dans les paramètres du compte, puis « Paramètres de sécurité et de connexion » et « Paramètres de sécurité avancés ». Elle peut passer soit par SMS, soit par un code temporaire généré par une application dédiée (comme Google/Microsoft Authenticator).
Netflix encourage le changement de mot de passe
De son côté, Netflix a envoyé à certains de ses membres un message au contenu semblable à celui d'Amazon, à une différence près. Quand l'e-commerçant impose le changement d'identifiant, Netflix le recommande seulement. Il demande ainsi à ses utilisateurs de passer par la procédure d'oubli de mot de passe, qu'il est facile de rater. L'envoi du message a été révélé par Adweek, et confirmé à The Register par le service, qui en aurait également envoyé en juin dernier.
Comme les deux autres entreprises, Netflix n'indique pas le nombre d'utilisateurs concernés par cette mesure. Toujours est-il qu'il semble que les principaux acteurs du Net ont pris l'habitude d'explorer le contenu des fuites de données récemment mises au jour. En septembre, Spotify nous affirmait d'ailleurs contrôler régulièrement les sites où peuvent apparaître le contenu de ces fuites, pour les comparer à sa propre base.
Un nouvel océan de données personnelles
Il faut dire que, ces derniers mois, les révélations de fuites de données sont nombreuses. Si certaines datent de plusieurs années, elles n'en restent pas moins une actualité importante pour ceux qui doivent s'assurer de la sécurité de leurs utilisateurs. Parmi elles, la remontée de 68 millions d'identifiants de comptes Dropbox vieux de quatre ans a établi un premier record... Même si les informations étaient bien obsolètes depuis cette époque, le service ayant agi avant leur remontée à la surface.
Le nombre de données disponibles a, en fait, explosé fin septembre avec la confirmation du vol de données de 500 millions d'utilisateurs de Yahoo, que la société a caché pendant deux ans. Sa révélation tardive pourrait d'ailleurs compromettre son rachat par l'opérateur américain Verizon.
Que faire dans ce genre de cas ? Une première étape peut être de comparer ses adresses email avec les listes de comptes publiées, compilées par le chercheur Troy Hunt via le site Have I been pwned?. On pourra également diversifer les mots de passe sur les services où vous savez utiliser les mêmes identifiants, pour éviter qu'une fuite de l'un devienne un problème sur d'autres.
Pour vous y aider, vous pouvez consulter notre guide complet sur la conception d'un bon mot de passe. Nous avons également concocté un large dossier sur les gestionnaires dédiés, un moyen désormais très pratique de sécuriser ses comptes en ligne, avec un large choix allant de la solution open source locale (comme KeePass) aux services en ligne avec fonctions proactives (comme 1Password, Dashlane ou LastPass).
