Spotify : 47.000 comptes d'utilisateurs français piratés

HACKERS Ces comptes authentiques servaient à augmenter artificiellement les lectures de titres de certains artistes sur la plateforme musicale

20 Minutes avec agence

— 

Spotify : bientôt un mode karaoké
Spotify : bientôt un mode karaoké — Geeko

Une base de données, qui contenait 400.000 comptes authentiques de Spotify ​dont 47.456 appartenant à des utilisateurs français, a été mise au jour sur Internet. Ce sont Noam Rotem et Ran Locar, deux chercheurs en cybersécurité, qui ont fait cette découverte. Ils ont mis la main sur un trésor bien plus conséquent que ces centaines de milliers de comptes de la plateforme de streaming, puisque cette base de données, constituée de 380 millions de documents, avait une taille de 72 Go, rapporte Le Parisien.

Les chercheurs ont été convaincus qu’il ne s’agissait pas d’un piratage dont aurait été victime Spotify. Les pirates sont en fait parvenus à combiner des adresses mail et des mots de passe qui permettaient d’accéder à des comptes gratuits et premium de la plateforme musicale.

La méthode du « credential stuffing »

Pour obtenir ces comptes vérifiés, les pirates ont donc utilisé la méthode du « credential stuffing ». Les cybercriminels se procurent sur le darknet une liste d’identifiants et de mots de passe volés. « Comme les utilisateurs jonglent très souvent par paresse avec le même mot de passe pour leurs différents comptes en ligne, les cybercriminels font appel à des botnets, des robots informatiques, pour tester des milliers de combinaisons d’identifiants et de mots de passe sur des services bien connus », explique à nos confrères Hicham Bouali, expert en cybersécurité chez One Identity.

La capacité de ces robots informatiques est telle qu’ils peuvent tester jusqu’à 300.000 connexions par heure sur un site Internet. Les cibles sont les sites les plus connus comme Uber, Netflix, Spotify, YouTube ou Amazon. A partir du moment où le compte est vérifié, il prend de la valeur, pour atteindre jusqu’à dix dollars. La valeur des 400.000 comptes de Spotify vérifiés est estimée à quatre millions de dollars.

Avertie par les chercheurs en juillet, la plateforme a effectué une « réinitialisation progressive des mots de passe pour tous les utilisateurs concernés ». La base de données a donc perdu toute sa valeur. Selon les chercheurs, ces comptes servaient à augmenter artificiellement les lectures de titres de certains artistes. Spotify compte aujourd’hui 320 millions d’utilisateurs actifs mensuels.