Piratage Spotify : une seule victime au bilan officiel
La société suédoise spécialiste de la musique en streaming a détecté un accès non autorisé dans son système d’information. Cette intrusion aurait exposé les données… d’un seul utilisateur.
(Update : 27/05/14 à 19h36, voir troisième paragraphe) Officiellement une seule victime au compteur, mais des millions d’utilisateurs invités à changer leur mot de passe : la situation est confuse après l’alerte au piratage lancée par Spotify.
La société suédoise mène l’enquête après avoir détecté un accès non autorisé dans ses systèmes et ses données internes. En l’état actuel, les investigations n’ont fourni aucune preuve formelle de l’éventuelle fuite d’informations sensibles, notamment des coordonnées de paiement. En fait, l’assaut aurait fait… une seule victime, qui a été personnellement contactée.
Pour autant, et quand bien même Spotify « n’a connaissance d’aucun risque accru pour les autres clients », le principe de précaution s’impose : les quelque 40 millions d’utilisateurs actifs sont invités à réinitialiser leur mot de passe (update : 27/05/14 à 19h36 : en fait, le service de presse de Spotify France nous précise que seuls les utilisateurs sous Android risquent d’être déconnectés et qu’ils devront juste se reconnecter).
Spotify ne communique pas plus de renseignements concernant la nature de la faille exploitée et la technique d’attaque, sachant que ce type de scénario implique souvent des injections SQL visant directement les bases de données. Quant aux motivations des pirates, elles restent tout aussi floues. Il s’agit vraisemblablement d’un acte isolé, en tout cas non revendiqué pour l’heure.
Plusieurs mesures seront édictées dans les jours à venir, mais il est d’ores et déjà recommandé aux utilisateurs Android d’installer la dernière version de l’application, uniquement depuis des sources sûres. « C’est-à-dire Google Play, l’Amazon Appstore [ou le site mobile de Spotify] », selon Oskar Stal. Dans une contribution blog, le directeur technique de Spotify précise que cette mise à jour requerra de télécharger à nouveau les listes de lecture programmées en mode hors-connexion. Il ajoute qu’aucune démarche n’est requise sur les plates-formes iOS et Windows Phone.
Alors que l’enquête se poursuit, une incertitude demeure autour des informations financières (carte bancaire, connexion au compte PayPal, etc.) renseignées par les abonnés premium. Le service en compte désormais 10 millions. Valorisé à plus de 4 milliards de dollars après son dernier tour de table (250 millions de dollars levés en novembre 2013), il reste néanmoins en quête de rentabilité : ses pertes se sont creusées sur l’exercice fiscal 2013, à 58,7 millions d’euros, malgré un chiffre d’affaires en hausse de 128% sur un an.
—— A voir aussi ——
Quiz ITespresso.fr : êtes-vous au point sur la musique en ligne ?