(Update : 27/05/14 à 19h36, voir troisième paragraphe) Officiellement une seule victime au compteur, mais des millions d’utilisateurs invités à changer leur mot de passe : la situation est confuse après l’alerte au piratage lancée par Spotify.
La société suédoise mène l’enquête après avoir détecté un accès non autorisé dans ses systèmes et ses données internes. En l’état actuel, les investigations n’ont fourni aucune preuve formelle de l’éventuelle fuite d’informations sensibles, notamment des coordonnées de paiement. En fait, l’assaut aurait fait… une seule victime, qui a été personnellement contactée.
Pour autant, et quand bien même Spotify « n’a connaissance d’aucun risque accru pour les autres clients », le principe de précaution s’impose : les quelque 40 millions d’utilisateurs actifs sont invités à réinitialiser leur mot de passe (update : 27/05/14 à 19h36 : en fait, le service de presse de Spotify France nous précise que seuls les utilisateurs sous Android risquent d’être déconnectés et qu’ils devront juste se reconnecter).
Spotify ne communique pas plus de renseignements concernant la nature de la faille exploitée et la technique d’attaque, sachant que ce type de scénario implique souvent des injections SQL visant directement les bases de données. Quant aux motivations des pirates, elles restent tout aussi floues. Il s’agit vraisemblablement d’un acte isolé, en tout cas non revendiqué pour l’heure.
Plusieurs mesures seront édictées dans les jours à venir, mais il est d’ores et déjà recommandé aux utilisateurs Android d’installer la dernière version de l’application, uniquement depuis des sources sûres. « C’est-à-dire Google Play, l’Amazon Appstore [ou le site mobile de Spotify] », selon Oskar Stal. Dans une contribution blog, le directeur technique de Spotify précise que cette mise à jour requerra de télécharger à nouveau les listes de lecture programmées en mode hors-connexion. Il ajoute qu’aucune démarche n’est requise sur les plates-formes iOS et Windows Phone.
Alors que l’enquête se poursuit, une incertitude demeure autour des informations financières (carte bancaire, connexion au compte PayPal, etc.) renseignées par les abonnés premium. Le service en compte désormais 10 millions. Valorisé à plus de 4 milliards de dollars après son dernier tour de table (250 millions de dollars levés en novembre 2013), il reste néanmoins en quête de rentabilité : ses pertes se sont creusées sur l’exercice fiscal 2013, à 58,7 millions d’euros, malgré un chiffre d’affaires en hausse de 128% sur un an.
—— A voir aussi ——
Quiz ITespresso.fr : êtes-vous au point sur la musique en ligne ?
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…