Avez-vous reçu un e-mail de réinitialisation de mot de passe Roku ? Allez vérifier tous vos autres comptes

par


Points essentiels à retenir

  • Roku a été victime d’une faille de sécurité affectant plus de 15 000 comptes, résultant d’attaques par bourrage d’identifiants.
  • Si vous avez reçu une alerte de sécurité de Roku, il est impératif de contrôler les autres comptes où vous utilisez les mêmes identifiants de connexion.
  • Localisez et sécurisez tous les comptes liés aux identifiants compromis afin de préserver vos informations personnelles.

Avez-vous récemment reçu un courriel de réinitialisation de mot de passe de la part de Roku ? Si c’est le cas, il serait judicieux d’examiner attentivement vos autres comptes en ligne.

En mars 2024, Roku, le leader de la diffusion en continu et des téléviseurs intelligents, a annoncé que plus de 15 000 comptes avaient été compromis via une technique d’attaque appelée « credential stuffing ». Cela signifie que tout compte où vous auriez employé le même mot de passe est également en situation de vulnérabilité.

Que s’est-il passé chez Roku ? Comment la faille s’est-elle produite ?

Un avis officiel de violation de données émis par Roku [PDF] a mis en lumière une activité suspecte concernant plus de 15 000 comptes d’utilisateurs.

Bien que Roku soit au cœur de cet incident, l’entreprise n’était pas entièrement responsable. Il s’avère que les intrusions ont été orchestrées par le biais du « credential stuffing » :

Notre investigation a révélé que des individus malveillants ont probablement dérobé des noms d’utilisateurs et des mots de passe auprès de sources tierces (notamment via des violations de données subies par des services tiers non affiliés à Roku). Il est fort probable que ces mêmes combinaisons nom d’utilisateur/mot de passe aient été utilisées à la fois sur ces services tiers et sur certains comptes Roku spécifiques.

Le « credential stuffing », qui consiste à réutiliser les mêmes identifiants sur plusieurs plateformes, est une erreur fréquente de la part des utilisateurs et constitue un problème majeur à l’ère des vastes fuites de données.

Dans cette situation, les agresseurs ont exploité ces informations pour effectuer des achats en utilisant les coordonnées bancaires enregistrées sur Roku. Cependant, Roku n’a divulgué ni numéros de sécurité sociale, ni informations complètes sur les comptes de paiement (les achats étant limités à la plateforme Roku), ni d’autres informations d’identification sensibles.

Vous avez reçu un courriel de réinitialisation de mot de passe de Roku ? Il est temps d’examiner vos autres comptes

Communiqué de presse de Roku

Le « credential stuffing » est une menace importante car les utilisateurs ont souvent recours aux mêmes identifiants sur divers services. Par conséquent, si vous avez reçu un courriel de réinitialisation de mot de passe de la part de Roku suite à cette faille, il est vivement conseillé de vérifier également vos autres comptes.

Tous les comptes où vous utilisez la même combinaison nom d’utilisateur/mot de passe sont potentiellement en danger, même si vous n’utilisez pas des mots de passe notoirement faibles. (Il est crucial de ne jamais employer de tels mots de passe !)

Comment déterminer si vos identifiants ont été compromis

Il existe plusieurs méthodes pour savoir si votre adresse électronique et votre mot de passe ont été exposés lors d’une violation de données.

La première option est de consulter HaveIBeenPwned, un site web gratuit et extrêmement utile développé par Troy Hunt, qui répertorie les incidents de violation de données. Saisissez simplement votre adresse électronique et cliquez sur « pwned ? » pour découvrir si votre adresse figure dans une fuite de données.

Bien qu’il s’agisse d’un excellent point de départ, ce service ne précise pas les noms d’utilisateur, les noms de comptes ou les mots de passe (et ce, à juste titre !). Pour identifier où vous avez utilisé la même combinaison nom d’utilisateur/mot de passe, vous devrez mener une investigation plus approfondie, manuellement. Nous avons déjà expliqué comment rechercher des comptes associés à une adresse électronique, mais voici un résumé des techniques que vous pouvez mettre en œuvre :

  • Recherche gratuite de comptes liés à la messagerie : les services de messagerie tels que Gmail et Outlook conservent une trace des comptes associés, où vous pourrez trouver les informations nécessaires.
  • Vérification des connexions sociales avec Facebook et Twitter : examinez les applications et les sites web auxquels vous êtes connecté via vos comptes de médias sociaux.
  • Recherche de courriels de vérification de compte dans votre boîte de réception : parcourez votre boîte de réception pour retrouver ces messages d’inscription.
  • Utilisation d’outils de suppression de compte tiers : ces outils peuvent localiser et supprimer vos comptes.
  • Identification des comptes en ligne avec Nomchk : ce service analyse les sites web pour vérifier la disponibilité des noms d’utilisateur. Si votre nom d’utilisateur habituel est déjà pris, cela indique que vous pourriez y posséder un compte.
  • Vérification des comptes enregistrés dans votre navigateur : bien qu’il ne s’agisse pas de la méthode la plus sécurisée pour gérer les mots de passe, elle reste pratique pour de nombreuses personnes.
  • Utilisation d’un gestionnaire de mots de passe : vous employez probablement des mots de passe complexes et uniques grâce à un gestionnaire de mots de passe, mais il est possible que vous ayez négligé de supprimer des doublons ou des mots de passe faibles.

    • Une fois que vous aurez identifié vos anciens comptes, modifiez chacun d’entre eux pour définir un mot de passe unique et robuste. Cette précaution vous protégera non seulement contre les attaques par « credential stuffing », mais aussi contre divers types de violations, d’usurpation de mots de passe, et d’autres menaces.

    Alors, prenez quelques minutes pour vérifier votre boîte de réception afin de voir si vous avez reçu un courriel de réinitialisation de mot de passe de la part de Roku. Si tel est le cas, n’hésitez pas à agir rapidement pour assurer votre sécurité !



    Tweetez
    Partagez
    Épingle
    Partagez
    Partagez
    0 Partages