Disney a déclaré que les mots de passe des comptes Disney Plus vendus dans des forums de piratage clandestins provenaient de violations précédentes d'autres sociétés, avant le lancement la semaine dernière de son service de streaming.

La société a réitéré mercredi qu'elle n'avait trouvé aucune preuve d'une faille de sécurité et que les problèmes de compte étaient limités à "un très faible pourcentage d'utilisateurs" de Disney Plus.

Disney et d'autres sociétés de médias traditionnels tentent de capter les revenus d'abonnement qui reviennent désormais à Netflix et à d'autres géants du streaming. Aidé par les promotions, dont une année gratuite pour certains clients Verizon, Disney Plus a attiré 10 millions d'abonnés le premier jour.

Le site d'information ZDNet a trouvé des noms d'utilisateur et des mots de passe de compte volés vendus 3 $ sur des forums de piratage clandestins. Le service de streaming de Disney coûte 7 $ par mois ou 70 $ par an.

Malgré les avertissements des experts en sécurité, les utilisateurs réutilisent souvent les mots de passe dans plusieurs services, ce qui signifie qu'une brèche dans l'un ouvre la porte à un pirate informatique pour accéder aux autres.

Les utilisateurs peuvent facilement éviter cela en utilisant des mots de passe forts qui sont uniques pour chaque service, dit Troy Hunt, un chercheur australien en sécurité dont « Have I Been Pwned ? » Le site Web alerte les gens lorsque leurs informations d'identité sont volées.

Mais Hunt a déclaré que Disney devrait mettre en œuvre de meilleures mesures de sécurité.

« La situation de Disney semble être une autre attaque de bourrage d'informations d'identification où les pirates exploitent une combinaison de clients réutilisant des mots de passe et le fournisseur de services ne fournit pas de défenses suffisantes pour l'arrêter, " Hunt a déclaré dans un e-mail.

Paul Rohmeyer, professeur au Stevens Institute of Technology à Hoboken, New Jersey, a déclaré qu'il était surpris que les services de streaming n'aient pas encore mis en place une meilleure sécurité telle que l'authentification multifacteur.

Avec l'authentification multifacteur, les utilisateurs doivent saisir un code envoyé sous forme de SMS ou d'e-mail lorsqu'ils se connectent à partir d'un nouvel appareil. Le code permet de garantir que les personnes utilisant des mots de passe volés ou les devinant ne peuvent pas utiliser un service sans avoir également accès au téléphone ou au compte de messagerie de l'utilisateur légitime.

Rohmeyer a déclaré que les services pourraient hésiter à mettre en œuvre une sécurité plus stricte car ils ne veulent pas être perçus comme plus gênants que leurs concurrents.

L'authentification multifacteur est une option pour de nombreux services non-streaming, y compris Google, Facebook et Apple, mais la sécurité supplémentaire doit être activée. Disney Plus exige des codes envoyés par e-mail lors de la modification des mots de passe du compte, mais il ne les utilise pas pour se connecter à partir de nouveaux appareils.

L'authentification multifacteur est plus difficile à mettre en œuvre pour les services partagés dans les ménages, car plusieurs utilisateurs auraient besoin d'accéder au même téléphone ou au même compte de messagerie. Alors que Disney Plus, Netflix et Hulu permettent aux membres de la famille de créer leurs propres profils, avec des listes de surveillance et des préférences séparées, ils partagent tous le même nom d'utilisateur et mot de passe. Apple TV Plus contourne ce problème en demandant à chaque membre de la famille de se connecter avec un identifiant Apple distinct.

© 2019 La Presse Associée. Tous les droits sont réservés.