Amazon réinitialise des mots de passe, par précaution

Jacques Cheminat,

Amazon lance depuis quelques jours une vaste opération de réinitialisation de mot de passe de certains utilisateurs. Une simple précaution, assure l’e-commerçant.

Le week-end dernier, ainsi qu’en début de semaine, Amazon a envoyé une notification de remise à zéro des mots de passe aux clients dont les comptes réutilisent des identifiants dérobés. Cette mesure proactive intervient après que les équipes d’Amazon ont découvert un jeu de 40 millions de comptes piratés.

Dans le message envoyé aux utilisateurs, le site explique « dans le cadre de notre surveillance, nous avons trouvé une liste d’adresses mails et de mots de passe disponibles sur le Net. Sans lien avec Amazon, nous avons de nombreux clients qui réutilisent leurs mots de passe sur différents sites web. Nous croyons que votre adresse mail et mot de passe était sur la liste, nous vous attribuons un mot de passe temporaire sur votre compte Amazon par un excès de prudence ». Le courriel suggère bien évidement de changer de mot de passe et qu’il soit distinct des précédents, mais Amazon en profite pour pousser la double authentification, comme protection supplémentaire.

Des vols de données à la pelle

En début de semaine, le site LeakedSource a indiqué avoir ajouté 40 millions de nouveaux comptes à sa base de données, dont 33 millions provient du jeu Evony. Les informations comprennent les noms, les mails, les mots de passe, les adresses IP, etc. Les autres données dérobées sont issues de piratage d’un ensemble de 18 sociétés dont CraftsForum.co.uk, Enworld.org, TheHackerParadise.com, Vbet.com, GEarthHacks.com et AutoGeek.com.

Mais la précaution d’Amazon peut également trouver son origine dans d’autres vols de données. LeakedSource a évoqué un jeu de données de 40 millions d’enregistrements, ainsi que 52 millions de comptes issus de Modern Business Solutions. Celui-ci est un hébergeur de données et a été victime d’un vol d’informations en raison d’une mauvaise configuration d’une instance MongoDB.

Une précaution pour protéger la réputation

La démarche d’Amazon tranche avec celle de Yahoo dont le récent vol de données à impacté plus de 500 millions de comptes (certains parlent même d’un milliard). Face à cette annonce, Yahoo n’a pas décidé de réinitialiser l’ensemble des mots de passe. En prenant les devants, Amazon protège sa réputation.

Une étude menée par F5 Networks montre que 47 % des français affirment qu’ils n’ouvriraient pas de compte, ne partageraient pas de données ou n’achèteraient pas à une entreprise déjà piratée par le passé (ce taux passe à 51% chez nos voisins Allemands). Mais si 49 % des français changent parfois ou à chaque fois leur mot de passe si une entreprise dans laquelle ils possèdent un compte a été piratée, encore 17 % d’entre eux ne changent jamais leurs mots de passe après le piratage d’une entreprise dans laquelle ils possédent un compte.

A lire aussi :

Justice : le droit national s’impose à Amazon
Amazon passe son logiciel de deep learning en Open Source