Des milliers de comptes Disney+ ont été compromis et sont désormais proposés à la vente sur diverses plateformes en ligne. Des pirates informatiques commercialisent ces informations d’accès à des prix variant entre 3 et 11 dollars. Nous allons explorer les causes probables de cette situation et vous fournir des conseils pour sécuriser votre propre compte Disney+.
Comment les comptes Disney+ sont-ils piratés ?
Selon les informations rapportées par Variety, Disney affirme n’avoir détecté « aucune faille de sécurité » au niveau de ses serveurs. L’entreprise a également précisé que seul un « faible pourcentage » de ses plus de 10 millions d’utilisateurs avait vu leurs informations de connexion compromises.
Cependant, si les serveurs de Disney n’ont pas été violés, comment expliquer la compromission de milliers de comptes ?
La cause principale semble être, une fois de plus, la réutilisation des mots de passe. Si vous utilisez le même mot de passe sur plusieurs sites web, il est fort probable que vos identifiants aient déjà été divulgués suite à une violation de données sur l’un de ces sites. Les pirates n’ont alors plus qu’à tester ces informations compromises sur d’autres plateformes.
Prenons un exemple : vous vous connectez partout avec l’adresse e-mail « vous@exemple.com » et le mot de passe « MotDePasseSuperSecurise ». De nombreux sites web ont subi des attaques ces dernières années. Par conséquent, la combinaison « vous@exemple.com / MotDePasseSuperSecurise » est probablement stockée dans une ou plusieurs bases de données de mots de passe divulgués. Lors du lancement de Disney+, si vous utilisez les mêmes identifiants, les pirates peuvent tenter de les exploiter pour accéder à votre compte et à d’autres services.
Bien que nous ne puissions pas l’affirmer avec certitude, cette méthode est la plus courante pour compromettre des comptes. Une autre possibilité pourrait être l’utilisation de logiciels malveillants enregistreurs de frappe, qui collectent discrètement les informations de connexion sur l’ordinateur de l’utilisateur. Dans tous les cas, ces problèmes de sécurité sont généralement liés aux utilisateurs et non à des failles au niveau des serveurs de Disney.
La réutilisation des mots de passe est un problème majeur en ligne. Un sondage Google/Harris Poll réalisé début 2019 a révélé que 52 % des personnes utilisent le même mot de passe pour plusieurs comptes, et 13 % le même mot de passe partout. Seuls 35 % des personnes interrogées déclarent utiliser des mots de passe uniques pour chaque compte.
Comment protéger votre compte Disney+
Il est primordial d’utiliser un mot de passe unique pour votre compte Disney+ et pour tous vos autres comptes en ligne. La tâche de se souvenir de nombreux mots de passe complexes et uniques est ardue, voire impossible. C’est pourquoi nous vous recommandons l’utilisation d’un gestionnaire de mots de passe. Vous n’aurez qu’à mémoriser un seul mot de passe maître fort pour déverrouiller votre coffre-fort de mots de passe sécurisé. Votre gestionnaire créera automatiquement des mots de passe robustes pour vos comptes et les remplira à votre place.
Remplacez tous vos mots de passe faibles ou réutilisés par des mots de passe forts et uniques. Laissez un gestionnaire de mots de passe faire le travail pour vous et vous épargner un effort mental.
Nous n’avons pas de préférence pour un gestionnaire de mots de passe en particulier. Nous apprécions 1Password et LastPass. Dashlane dispose d’une interface intuitive. Bitwarden et KeePass sont des options open-source. Votre navigateur web intègre également un gestionnaire de mots de passe, bien que nous le déconseillions, il reste préférable à une absence totale de gestion.
Vous pouvez vérifier si votre mot de passe a été divulgué lors de précédentes violations de données grâce à un service tel que Have I Been Pwned? Les gestionnaires de mots de passe comme 1Password et LastPass effectuent également cette vérification. Cependant, n’ayez pas un faux sentiment de sécurité : même si votre mot de passe n’apparaît pas dans ces bases de données, il peut quand même avoir été compromis.
Les recommandations de sécurité en ligne habituelles sont toujours valables : utilisez un logiciel anti-malware sur votre ordinateur, maintenez vos logiciels à jour et activez l’authentification à deux facteurs pour les comptes sensibles comme votre messagerie. Cette sécurité renforcée vous protégera même si quelqu’un parvient à obtenir votre nom d’utilisateur et votre mot de passe.
Disney surveille les tentatives de connexion suspectes
Disney a également déclaré à Variety que « lorsque nous détectons une tentative de connexion suspecte, nous bloquons proactivement le compte et demandons à l’utilisateur de choisir un nouveau mot de passe. » Si Disney prend ces mesures, les informations d’identification compromises pourraient ne pas être une si bonne affaire pour les pirates, même à seulement 3 dollars.
Si votre compte est bloqué, Disney vous invite à contacter son service client.
Ce que Disney pourrait faire de plus pour protéger ses utilisateurs
Bien que Disney+ ne soit probablement pas à l’origine de ces violations, l’entreprise pourrait prendre des mesures supplémentaires. L’une d’elles serait de proposer l’authentification à deux facteurs, qui exigerait un code supplémentaire, envoyé sur votre téléphone ou généré par une application, pour vous connecter.
Bien sûr, cela protégerait les utilisateurs qui réutilisent leurs mots de passe, mais ils ne l’activeraient pas nécessairement. L’authentification à deux facteurs est une option essentielle, mais elle n’est pas une solution universelle.
Disney pourrait également analyser automatiquement les bases de données de combinaisons nom d’utilisateur/mot de passe divulguées et informer proactivement les utilisateurs de Disney+, en leur demandant de modifier leurs identifiants. Netflix a déjà mis en place ce type de mesures.
Il est important de noter que Disney+ n’est pas un cas isolé. Les pirates commercialisent également des identifiants pour des comptes Netflix sur le dark web. Les mauvaises pratiques en matière de mots de passe représentent un risque pour de nombreux comptes en ligne. C’est la raison pour laquelle le secteur technologique envisage de remplacer complètement les mots de passe.
Il est crucial de souligner que Disney+ n’a *PAS* été piraté. Il n’y a pas eu de violation de données chez Disney+.
Si vous êtes préoccupé, abonnez-vous à un gestionnaire de mots de passe (tel que @LastPass ou @1Password), générez un nouveau mot de passe (aléatoire) et *CHANGEZ* votre mot de passe.
De plus, consultez https://t.co/wKe1GnPdqV pour vérifier la sécurité de vos comptes.
— Justin Duino (@jaduino) 19 novembre 2019