Un méconnu groupe de hackers a publié une liste contenant un peu plus de 6 000 comptes Spotify. Le géant suédois du streaming dément toutefois avoir été piraté : la piste la plus probable est celle d'une réutilisation d'identifiants et de mots de passe tirés de fuites de données récentes (Dropbox, MySpace) qui étaient également utilisés sur Spotify.

Toutes les occasions sont bonnes pour se faire connaître lorsqu’on est un groupe de hackers méconnu. Lundi 22 mai, le collectif The Leak Boat annonçait sur Twitter : « 9 000 comptes Spotify, profitez-en ». Le message s’accompagnait d’un lien vers la plateforme de contenu texte Pastebin, contenant 6 141 combinaisons d’identifiant et de mot de passe (au lieu des 9 000 annoncés).

Parmi les comptes publiés de manière sommaire sur Pastebin, on trouve uniquement des abonnements gratuits (pas de Premium), accompagnés de leur pays d’origine (souvent le Royaume-Uni, le Canada ou les États-Unis). Certains comptes fonctionnaient, d’autres non, comme c’est souvent le cas avec ce genre de liste conséquente.

spotify login pastebin

Si The Leak Boat se gardait bien de revendiquer un hacking, différents sites spécialisés n’ont pas tardé à annoncer le piratage de la plateforme de streaming la plus prisée au monde, comme l’International Business Times. Et le groupe de hackers s’est à son tour empressé de relayer ces articles, avant de lancer une course aux 600 followers, promettant de publier des photos de nu volées en guise de « récompense ».

Une réutilisation d’identifiants venus d’autres sites

Face à cet emballement, le géant suédois du streaming, qui revendique 50 millions d’abonné payants, a tenu à démentir démenti tout piratage. Un porte-parole de Spotify a de fait indiqué à l’International Business Times : «  Spotify n’a pas subi de piratage, et les données de nos utilisateurs sont à l’abri. Nous faisons en revanche attention aux piratages qui touchent d’autres services et adoptons les mesures nécessaires pour sécuriser les comptes Spotify dans ces cas-là. […] Nous avons une approche préventive en matière en sécurité : c’est pourquoi nous avons réinitialisé tous les mots de passe concernés et demandé à leurs utilisateurs d’en créer un nouveau. »

Comment expliquer, alors, la présence d’identifiants et de mots de passe fonctionnels ? En fait de « piratage », The Leak Boat aurait simplement puisé dans différentes fuites récentes d’identifiants de comptes (comme MySpace, Twitter, Dropbox en 2016…) nées de véritables piratages. Il lui suffisait ensuite de tester plusieurs combinaisons sur Spotify : certains internautes ayant recours au même identifiant et au même mot de passe pour différents services, il était facile de percer à jour ces comptes peu sécurisés.

Dès l’annonce du groupe de pirates, certains internautes avaient fait part de leurs doutes. Troy Hunt, l’expert en cybersécurité à l’origine du site « Have I been pwned », qui permet de savoir en quelques secondes, à partir d’une adresse mail, si celle-ci a été victime d’un vol de données, tweetait ainsi un lien vers l’article en question accompagné de cette précision : « Il est vraiment très probable qu’il s’agisse simplement d’une réutilisation d’identifiants ».

Radio Spotify Mix

Un scénario déjà vécu par Spotify en 2016

En février 2016, lorsque des identifiants Spotify avaient fuité sur Pastebin après la publication d’un dénommé « Drakia12 », le service niait déjà avoir été piraté et expliquait : « Nous consultons Pastebin et d’autres sites régulièrement. Quand nous trouvons des identifiants Spotify, nous vérifions d’abord s’ils sont authentiques et, si c’est le cas, nous conseillons immédiatement aux utilisateurs concernés de modifier leurs mots de passe. »

Historiquement, Spotify se montre plutôt transparent en matière de sécurité : en mai 2014, l’entreprise avait publié un message sur son blog pour alerter d’une intrusion dans son service. Quelques mots de passe d’utilisateur avaient fait l’objet d’une réinitialisation à cette occasion.

En cas de doute, vous pouvez donc utiliser le site « Have I been pwned » et, si votre adresse mail y apparaît, réinitialiser votre mot de passe par sécurité.

À lire sur Numerama : Deezer, Spotify, Apple Music, Google Play Music…  : notre comparatif du streaming musical

Partager sur les réseaux sociaux