Spotify force la réinitialisation de certains mots de passe repérés dans des fuites d'autres services

Spotify force la réinitialisation de certains mots de passe repérés dans des fuites d’autres services

Mais où ?

Avatar de l'auteur
Guénaël Pépin

Publié dans

Internet

01/09/2016 2 minutes
17

Spotify force la réinitialisation de certains mots de passe repérés dans des fuites d'autres services

Dans un email envoyé à une partie de ses membres, Spotify leur demande de changer de mot de passe. La société indique avoir trouvé des combinaisons équivalentes dans une fuite récente.

Les fuites s'enchainent avec des conséquences de plus en plus étendues. Ces derniers mois, plusieurs services ont ainsi vu des données clients publiées en ligne, menant à des réinitialisations de mots de passe et la promesse de mieux les protéger à l'avenir. De MySpace à Dropbox, les cas se sont multipliés.

Spotify confirme l'envoi d'emails à certains utilisateurs

L'une des conséquences devenues habituelles est le piratage de comptes d'autres services, sur lesquels les internautes utilisent les mêmes identifiants. Une pratique répandue qui force certaines entreprises à surveiller les fuites de tiers, pour s'assurer que leurs propres comptes ne deviennent pas vulnérables par ce biais. Depuis hier, comme l'a d'abord révélé Motherboard, Spotify demande à une partie de ses utilisateurs de réinitialiser leurs mots de passe, par prévention.

Contacté, Spotify nous confirme l'envoi d'emails à certains utilisateurs pour changer leur mot de passe, sans précision sur leur nombre. La société explique surveiller les lieux habituels où des informations peuvent apparaître (comme Pastebin) quand une fuite de données est avérée. Dans son message aux clients concernés, elle indique qu'il s'agit d'une procédure préventive.

Un enchainement direct avec la réapparition de données de Dropbox

Spotify n'a pas souhaité nous indiquer quelle fuite a mené à cette vague de réinitialisation chez eux. L'entreprise préfère évoquer « une démarche proactive » de son équipe de sécurité. La nouvelle la plus récente à ce sujet concerne Dropbox, dont on a appris cette semaine que 68 millions de couples identifiant-mot de passe ont été publiés. Ceux-ci datent de 2012, l'entreprise nous ayant indiqué hier qu'aucune activité frauduleuse liée à cette publication n'avait été détectée.

Dropbox a tout de même forcé un changement de mot de passe sur les comptes dont les informations n'avaient pas été modifiées depuis l'époque. Une nouvelle fois, c'est l'occasion de rappeler les conseils habituels, à savoir d'éviter d'utiliser les mêmes identifiants et mots de passe sur plusieurs services, d'activer l'identification à deux étapes quand cela est possible, voire de générer des mots de passe forts via un gestionnaire de mots de passe, comme KeePass.

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Spotify confirme l'envoi d'emails à certains utilisateurs

Un enchainement direct avec la réapparition de données de Dropbox

Commentaires (17)


Le mail complet :



Bonjour Spotify User,



Afin de protéger votre compte Spotify, nous avons réinitialisé votre mot de passe. Pourquoi ? Nous pensons qu’il a été piraté suite à une fuite vers un autre service pour lequel vous utilisez le même mot de passe.



Pas d’inquiétude ! Il s’agit d’une mesure purement préventive. Personne n’a accédé à votre compte Spotify, et vos données sont en sécurité.



Pour créer un nouveau mot de passe afin de vous reconnecter à Spotify, cliquez simplement sur le gros bouton vert ci-dessous.



[Bouton vert]



Si ce bouton ne fonctionne pas, cliquez ici pour réinitialiser votre mot de passe manuellement.



www.spotify.com/password-reset/



Nous vous recommandons également de modifier tous vos mots de passe sur les services pour lesquels vous utilisez le même.



Et maintenant, continuez à profiter de votre musique !



L’équipe Spotify





J’ai cru à un mail de phishing au début <img data-src=" />.

(Et je ne me souvenais pas du tout que j’avais un compte chez eux …)


Spottedfy



<img data-src=" />


ils ont repéré ça comment ?

ils ont cherché les hash et comparés aux leurs avec les identifiant ?

parce que en fonction du salt le hash est différent normalement…

ou alors ils ont les mdp en clair et ils ont comparés et dans ce cas c’est tout simplement scandaleux !


Commentaire Hors-sujet, le webmail de Yahoo est tombé depuis ce matin. Vous avez pas un peu plus d’informations dessus.


Beaucoup de sites hackés ont stocké les MDP en clair, ou hashés avec du MD5 ou du SHAx (donc facilement retrouvable en clair). En gros, ça donne plein de couples mail/mdp_autre_site.



Pour chaque couple mail/mdp_autre_site, ils ont fait une simple condition :

if ( hash(mdp_autre_site) == hash_dans_la_bd ) then reset_mdp(); <img data-src=" />


Le webmail Yahoo fonctionne très bien pour moi.


Ca suppose que ce n’est pas salé côté Spotify… ;)








warenbe a écrit :



ils ont repéré ça comment ?

ils ont cherché les hash et comparés aux leurs avec les identifiant ?

parce que en fonction du salt le hash est différent normalement…

ou alors ils ont les mdp en clair et ils ont comparés et dans ce cas c’est tout simplement scandaleux !







+1, je me suis fait la même remarque sur le stockage en clair. C’est louable et discutable.









Kwaïeur a écrit :



Beaucoup de sites hackés ont stocké les MDP en clair, ou hashés avec du MD5 ou du SHAx (donc facilement retrouvable en clair).





Sauf erreur de ma part, il n’y a pas eu de fuite de grande ampleur de mots de passes en clair ou de mots de passes hachés non salés (contrairement au hachis parmentier qui est bien meilleur une fois salé).









Toph a écrit :



Ca suppose que ce n’est pas salé côté Spotify… ;)





Si, cela peut etre techniquement salé coté Spotify si la fuite disponible est elle en clair.



&nbsp;C’est intéressant en tout cas leur veille proactive









Toph a écrit :



Ca suppose que ce n’est pas salé côté Spotify… ;)







ça ne suppose rien côté Spotify ;)



Ils ont tout simplement appliqué le même traitement que quand tu saisis ton MdP pour te connecter. Si ils ont une liste de MdP en clair, ils peuvent en faire ce qu’ils veulent.







jpaul a écrit :



Sauf erreur de ma part, il n’y a pas eu de fuite de grande ampleur de mots de passes en clair ou de mots de passes hachés non salés (contrairement au hachis parmentier qui est bien meilleur une fois salé).





<img data-src=" />

C’est un peu la question que se pose l’article (et le sous-titre) : sur quel site le MdP a été retrouvé ?

Une petite liste de sites qui auraient pu servir de source, et pas forcément récemment :

* Adobe - 153M comptes - “encrypted password and a password hint in plain text. The password cryptography was poorly done and many were quickly resolved back to plain text.”

* MySpace - 360M comptes - “SHA1 hashes of the first 10 characters of the password converted to lowercase and stored without a salt”

* LinkedIn - 164M comptes - “The passwords in the breach were stored as SHA1 hashes without salt, the vast majority of which were quickly cracked in the days following the release of the data.”

* VK (Russe) - 100M comptes - “plain text passwords”

* 000webhost - 13M - “plain text passwords”

* Neopets - 27M - “Passwords were stored in plain text”

* Sony - 77M - “plain text passwords”









Kwaïeur a écrit :



* LinkedIn - 164M comptes - “The passwords in the breach were stored as SHA1 hashes without salt, the vast majority of which were quickly cracked in the days following the release of the data.”

* VK (Russe) - 100M comptes - “plain text passwords”

* 000webhost - 13M - “plain text passwords”

* Neopets - 27M - “Passwords were stored in plain text”

* Sony - 77M - “plain text passwords”





Waw je savais pas pour ceux là. Sony a la palme.



Mais je ne comprends pas, c’est tellement simple techniquement de protéger des mots de passes (allez, soyons large, une minute de dev), que stocker des mots de passe en clair devrait être illégal.



À partir du moment où un login est présent dans l’un de ces fichiers tu contact le client pour le changer et puis voilà.

Comme ça, pas besoin de savoir ou pas si c’était le même mdp.


oui mais bon…. dans ce cas autant dire qu’ils ont forcés beaucoup beaucoup beaucoup de monde à changer de mot de passe



c’est effectivement louable, mais discutable, comme disait @keele


Yep, bcp de mail envoyé, mais il veut mieux ça qu’un client piraté.


Pas selon leur mail :





Afin de protéger votre compte Spotify, nous avons réinitialisé votre mot de passe. Pourquoi ? Nous pensons qu’il a été piraté suite à une fuite vers un autre service pour lequel vous utilisez le même mot de passe.





Spotify n’a peut-être pas fait ça tout seul. Il y a des services qui vendent carrément ce genre de solutions : une API, vous fournissez un mail, ça vous renvoie tous les MdP connus (ou qu’ils ont réussi à cracker), les hash, ainsi que les autres infos (age, nom/prénom, …). Après, si c’est légal ou non … <img data-src=" />


Bonne initiative de la part de Spotify, certains services vont même jusqu’à vous refuser le choix d’un password s’il est présent dans une des grandes bases volées qui circulent sur internet.



Pour les sceptiques quand à l’ampleur du phénomène :

https://haveibeenpwned.com



Tout ça rappelle l’importance de ne pas réutiliser ses passwords à plusieurs endroits. (et la nécessité d’utiliser un gestionnaire de mots de passe pour y parvenir, au besoin)