Amazon et Netflix ont envoyé des emails à une partie de leurs utilisateurs pour leur demander de changer de mot de passe. Elles disent agir après avoir découvert des couples d'identifiants similaires dans des fuites de données récentes.
Réinitialiser des mots de passe pourrait bien devenir une activité en vogue. Début septembre, Spotify nous confirmait forcer le changement des identifiants de certains de ses utilisateurs, qui les ont réutilisés ailleurs. Ces derniers jours, deux entreprises lui ont emboité le pas : Amazon et Netflix. Toutes deux ont prévenu leurs clients qu'ils doivent changer leurs mots de passe, trouvés dans des fuites récentes.
Amazon recommande d'activer une double sécurité
« Dans le cadre de notre surveillance habituelle, nous avons découvert une liste d'adresses email et de mots de passe mis en ligne. Même si cette liste n'a pas de lien avec Amazon, nous savons que beaucoup de clients réutilisent leur mot de passe sur plusieurs sites » indique ainsi Amazon dans un courriel envoyé à ses clients américains, et confirmé à Venturebeat. Au retour sur le site, le mot de passe devra être changé.
Le cybermarchand recommande d'ailleurs d'activer l'authentification en deux étapes. Pour un compte français, il faut d'abord passer par Amazon.com pour l'activer, comme nous l'expliquions à son arrivée. Une fois en place, l'option est paramétrable sur Amazon.fr dans les paramètres du compte, puis « Paramètres de sécurité et de connexion » et « Paramètres de sécurité avancés ». Elle peut passer soit par SMS, soit par un code temporaire généré par une application dédiée (comme Google/Microsoft Authenticator).
Netflix encourage le changement de mot de passe
De son côté, Netflix a envoyé à certains de ses membres un message au contenu semblable à celui d'Amazon, à une différence près. Quand l'e-commerçant impose le changement d'identifiant, Netflix le recommande seulement. Il demande ainsi à ses utilisateurs de passer par la procédure d'oubli de mot de passe, qu'il est facile de rater. L'envoi du message a été révélé par Adweek, et confirmé à The Register par le service, qui en aurait également envoyé en juin dernier.
Comme les deux autres entreprises, Netflix n'indique pas le nombre d'utilisateurs concernés par cette mesure. Toujours est-il qu'il semble que les principaux acteurs du Net ont pris l'habitude d'explorer le contenu des fuites de données récemment mises au jour. En septembre, Spotify nous affirmait d'ailleurs contrôler régulièrement les sites où peuvent apparaître le contenu de ces fuites, pour les comparer à sa propre base.
Un nouvel océan de données personnelles
Il faut dire que, ces derniers mois, les révélations de fuites de données sont nombreuses. Si certaines datent de plusieurs années, elles n'en restent pas moins une actualité importante pour ceux qui doivent s'assurer de la sécurité de leurs utilisateurs. Parmi elles, la remontée de 68 millions d'identifiants de comptes Dropbox vieux de quatre ans a établi un premier record... Même si les informations étaient bien obsolètes depuis cette époque, le service ayant agi avant leur remontée à la surface.
Le nombre de données disponibles a, en fait, explosé fin septembre avec la confirmation du vol de données de 500 millions d'utilisateurs de Yahoo, que la société a caché pendant deux ans. Sa révélation tardive pourrait d'ailleurs compromettre son rachat par l'opérateur américain Verizon.
Que faire dans ce genre de cas ? Une première étape peut être de comparer ses adresses email avec les listes de comptes publiées, compilées par le chercheur Troy Hunt via le site Have I been pwned?. On pourra également diversifer les mots de passe sur les services où vous savez utiliser les mêmes identifiants, pour éviter qu'une fuite de l'un devienne un problème sur d'autres.
Pour vous y aider, vous pouvez consulter notre guide complet sur la conception d'un bon mot de passe. Nous avons également concocté un large dossier sur les gestionnaires dédiés, un moyen désormais très pratique de sécuriser ses comptes en ligne, avec un large choix allant de la solution open source locale (comme KeePass) aux services en ligne avec fonctions proactives (comme 1Password, Dashlane ou LastPass).
Commentaires (36)
#1
Je dois être “nul”, mais j’ai jamais trouvé cette fonction dans mes paramètres de sécurité Amazon. J’ai pas d’option de sécurité avancée.
Ou alors c’est pas encore implémenté ou destiné au premium.
#2
listes de comptes publiées, compilées par le chercheur Troy Hunt via le site Have I been pwned?.
Le problème de ce type de services, c’est qu’il faut fournir ses identifiants pour avoir la réponse. Et on ne sait pas si c’est stocké ensuite, comment, par qui, si c’est sécurisé,… Peu de personnes savent que c’est l’initiative d’un chercheur (ce qui ne garantit pas la sécurité des données).
#3
Idem, je ne vois rien sur Amazon pour la double identification.
#4
Amazon… Le seul site sur lequel ma CB est enregistrée, et qui ne demande aucun code sécure (SMS) pour valider un achat 1-click
" />
#5
Faut passer par Amazon.com pour l’option de double authentification.
#6
+1
La pub “Premium” aussi est bien chiante car tu peux t’y abonner sans trop faire exprès.
Puis le fait que les chèques-cadeaux sont utilisés par défaut c’est chiant aussi.
#7
Des services qui n’automatisent pas la suppression d’un compte par l’utilisateur. Je dis ça en passant sur un article qui parle des GAFAM et des NATU soit-disant à la pointe des algorithmes et de la simplification des tâches.
(je dis ça, je dis rien)
#8
en esperant que les gestionnaires de mots de passe en ligne, lastpass et consorts,ne se fassent jamais piratés….
difficile aujourd’hui de s’en passer..
#9
#10
Idem je ne trouve pas l’option double authentification sur Amazon.fr (et je ne suis pas aveugle, dans l’article il est bien question de Amazon.fr). Je connaissais l’astuce visant à passer par Amazon.com mais sérieusement, qu’est-ce qui les empêche de mettre cette option aussi sur la plateforme en France ?!
#11
Pour info, l’authentification à deux facteurs mentionnée ce matin dans l’article concerne bien Amazon.fr, à l’endroit indiqué. Je viens de revérifier et c’est bien disponible à cette adresse. Le lien a été ajouté.
#12
#13
Zut je ne peux plus éditer :
http://i.imgur.com/wxryp6E.jpg
#14
Pareil pour moi, je n’ai pas cette option. Quand je clique sur le lien j’ai une page vide.
#15
Au lancement, l’activation de l’option était réservée à Amazon.com, ce qui l’activait automatiquement sur Amazon.fr, comme nous l’indiquions. Est-ce que cette page fonctionne mieux pour vous ?
#16
Sur Amazon.com la page fonctionne.
#17
Je confirme, la page Américaine semble mieux fonctionner de mon coté (je n’ai pas poussé la double authentification jusqu’au bout pour ne pas risquer de bloquer mon compte en raison des versions différentes entre la page Française et la page Américaine).
Sur la page Française j’ai le même résultat que MaiEolia ci-dessus
Et sur la page Américaine, j’ai ça.
A noter : Je suis Premium sur Amazon.fr
#18
Bien sure ils ne se sont pas fait pirater …
J’attends le tour de Google et Microsoft pour bien me marrer.
Get on the CLOUDDDDDD , NOW !
#19
#20
L’option sur Amazon.fr n’apparait que si on a activé la double authentification par Amazon.com 
" />
Testé ce jour…
#21
Via ton lien aucun soucis, par contre la vraie question : Tu y accèdes comment via le menu “votre compte”, car j’ai vérifié, je n’ai pas accès à cette page via mes options de compte.
#22
Pour moi la page fonctionne, mais je ne reçois jamais le SMS … 
" />
#23
J’ai détaillé le chemin de lien en lien dans l’article, c’est par là que j’y ai accédé.
" />
Merci à tous pour les retours.
#24
sur amazon.com, renseigné en étape 1, en étape 2 il propose un 2e n° de tél
" /> (ou une appli authentificator). Bref un n° renseigné, ça me va.
#25
#26
Tu ne fournis aucun identifiant, tu mets ton mail et ça va vérifier s’il existe dans les logs.
#27
Perso, impossible de me co à mon compte.
Forçage de amazon ?
J’ai dû le changer via le “mot de passe oublié”.
Bon, cela est fait…à voir si je passe par la double authentification.
#28
Ton mail n’est pas un identifiant ?
#29
#30
Il manque le mot de passe.
#31
Ce genre de mail, ça sent la grosse fuite de données personnelles qu’on va nous apprendre dans 6 mois “à la Yahoo” 
" /> Je vais changer mon password de ce pas 
" />
#32
Je confirme qu’une fois l’activation de la 2x authentification sur le site .com l’option apparait ensuite dans les préférences de mon compte FR.
Je précise bien qu’elle n’avais jamais été activée.
#33
Et donc si ton e-mail est présent dans le fichier, il y a le mdp correspondant (peut-être en clair). En utilisant ce service, tu donnes l’information que ton e-mail est actif et que tu te soucies du hackage. Sur le total de comptes présents dans les leaks, ça peut permettre d’isoler 1% de comptes actifs. Si en plus tu utilises les mêmes identifiants, c’est jackpot car on peut demander un changement de mot de passe qui te sera envoyé par e-mail. Donc je préfères ne pas utiliser ce service et agiter un drapeau “compte piraté” au dessus de ma tête.
#34
Qui peut être dans le fichier derrière le service. Voir mon message précédent, ce service peut juste permettre de voir quels comptes sont actifs parmi la masss récupérée (c’est ce qui donne de la valeur à ce hack car si 100% des comptes sont inactifs, c’est un peu loupé
" />)
#35
Non…
Les bases utilisées sont connues du publique, par conséquent toute adresse remontée est déjà potentiellement hackée. Ce serait de la folie que de laisser un compte avec les mêmes identifiants.
Personnellement, mes identifiants remontent depuis au moins 11 bases distinctes.
Pour certaines bases, je ne les utilise plus depuis plusieurs années voir même ne les ai jamais vraiment utilisé, je me suis juste inscrit dessus une fois pour voir à quoi ça ressemblait.
Pour d’autres bases, j’avais déjà changé mon mot de passe entre la date du hack et sa publication.
#36