Spotify : près de 50 000 comptes d’utilisateurs français piratés

La base de données, comptant en tout 400 000 d'utilisateurs concernant le monde entier, était en accès libre sur Internet.

Noam Rotem et Ran Locar, deux chercheurs en cybersécurité de la société israélienne VPNMentor ont découvert une base de données contenant quelques centaines de milliers de comptes d’utilisateurs de Spotify. Dans ce gros fichier, sont compris un peu plus de 47 000 sont des comptes français. Mais ce n’est pas la plateforme musicale qui a été piratée. Les hackers avaient sans doute collecté d’innombrables identifiants sur le Darknet, mine d’or de fichiers issus de bases de données mal sécurisées.

La méthode du « credential stuffing »

Au Parisien, Hicham Bouali, expert en cybersécurité chez One Identity, explique : « Comme les utilisateurs jonglent très souvent par paresse avec le même mot de passe pour leurs différents comptes en ligne, les cybercriminels font appel à des botnets, des robots informatiques, pour tester des milliers de combinaisons d’identifiants et de mots de passe sur des services bien connus ». C’est la méthode du « credential stuffing ». En d’autres termes, ce sont les utilisateurs qui sont en tort dans ce cas.

Quelles conséquences ?

D’après les chercheurs israéliens, ces comptes servaient à gonfler de manière artificielle les lectures de titres de certains artistes. Ainsi, des diffuseurs peu scrupuleux peuvent les utiliser pour augmenter leurs revenus. Pour les utilisateurs donc, rien de grave a priori car aucune donnée sensible, comme des coordonnées bancaires, n’est concernée. Pendant l’été, Spotify a été alerté par les deux spécialistes, et engagé une « réinitialisation progressive des mots de passe pour tous les utilisateurs concernés ».