Des milliers d'identifiants et mots de passe de nombreux abonnés à Disney+ sont déjà en vente sur des plateformes et forums illégaux.

Moins de 24 heures après le lancement de Disney+ aux États-Unis et dans plusieurs autres pays, des milliers d’identifiants volés se revendaient déjà illégalement sur des forums spécialisés, a révélé ZDnet dans une enquête publiée le 16 novembre 2019.

Disney+ est la nouvelle plateforme de vidéo à la demande par abonnement (SVOD) lancée par le groupe Disney le 12 novembre aux États-Unis, Canada, Nouvelle-Zélande et Pays-Bas. D’après la multinationale, le service aurait séduit 10 millions d’abonnés en une journée, dépassant ses projections les plus optimistes.

Disney+ // Source : Disney Plus

C’est parmi eux que des identifiants et mots de passe ont été subtilisés. ZDnet est parvenu à trouver, sur des forums dédiés et des sites de reventes accessibles sur le dark web, de nombreuses propositions de revente d’abonnements Disney+, entre 3 dollars et 11 dollars (un abonnement officiel coûte 6,99 dollars/mois).  La BBC a retrouvé environ 4 000 identifiants et mots de passe Disney+ à vendre. Les mots de passe ont ensuite été changés pour être revendus.

Sur Twitter et Reddit, plusieurs internautes se sont effectivement plaints d’avoir vu leur compte piraté, à peine quelques heures suivant leur inscription.

Comment des comptes Disney+ ont-ils pu être hackés ?

Que s’est-il passé pour que ces identifiants aient pu être obtenus si rapidement ? Tout porte à croire qu’il ne s’agit pas d’une faille au niveau de Disney, mais plutôt de fuites passées. « Disney prend très au sérieux la sécurité des données de nos utilisateurs, et nous n’avons constaté aucune fuite de données sur Disney+ », a affirmé un porte-parole auprès de la BBC.

Bien que ce soit une pratique vivement (vivement !) déconseillée, de nombreux internautes utilisent malheureusement les mêmes identifiants (généralement une adresse mail) et mots de passe sur plusieurs sites différents. Or si l’un d’entre eux a été compromis, les comptes qui existent ailleurs deviennent potentiellement vulnérables.

The Mandalorian // Source : Disney+

Il convient tout de même de noter que Disney+ n’est pas exempt de tout reproche : d’une part, la plateforme ne propose pas d’option de double authentification. De plus, elle ne donne pas la possibilité à l’utilisateur principal de déconnecter en un clic tous les autres comptes, ce qui est pourtant une fonctionnalité utile en cas de tentative de connexion inconnue.

Si vous avez un doute sur la sécurité de vos données, il existe quelques méthodes pour savoir si vos identifiants figurent dans des bases qui ont été piratées par le passé. L’une des plus connues est de passer par le site HaveIBeenPwned, qui est tenu par Troy Hunt, un informaticien reconnu dans le milieu de la sécurité informatique. Vous renseignez votre adresse mail, et le site vous dit si votre compte a déjà été compromis dans des fuites de données. Une extension baptisée PassProtect pour Google Chrome permet aussi de tester la sécurité de votre mot de passe, et savoir s’il a déjà été piraté.

Attention toutefois : si votre mail ne figure pas dans les listes, cela ne veut pas dire pour autant que vous êtes 100 % sortis d’affaire. Le mieux est de toujours activer la double authentification (quand elle est proposée) sur les services que vous utilisez, et pas forcément de changer tout le temps vos mots de passe, contrairement à ce que l’on pourrait penser.

Partager sur les réseaux sociaux