Ils ont piraté mon compte Netflix.

Ils ont piraté mon compte Netflix.

Mauvaise surprise ce matin, le fiston me dit que Netflix ne fonctionne pas. Effectivement, je suis déconnecté sur la télévision… mais bizarrement, mon adresse email n’est plus reconnue. Après vérification de cette dernière dans ma boite à mail, je constate avoir reçu durant la nuit deux emails.

Un premier m’annonce une tentative de connexion inhabituelle depuis l’Algérie. L’autre quelques secondes plus tard la confirmation du changement d’adresse email pour l’identification à mon compte Netflix. Diable, Netflix ne semble pas très efficace pour la protection de mes données, je n’ai rien pu faire ! Il aurait fallut que je change à la seconde même mon mot de passe, soit vers 2h du matin…. Et encore !

Après de longs échanges avec le SAV en anglais, j’ai pu modifier à nouveau l’adresse email pour la cibler sur une autre de mes adresses puis renforcer le mot de passe afin d’éviter de nouvelles mauvaises surprises de ce genre ! Dans la bagarre, le hacker a eu le temps de supprimer tout mon historique et modifier mon abonnement vers la formule la plus élevée, qui permet de l’utiliser avec une nombre important d’utilisateurs en simultané.

Pourquoi ?

Ce n’est bien entendu pas pour son plaisir personnel, mais bien pour revendre ensuite mon compte pour une poignée d’euro sur le marché noir…. Et oui, si parfois il est bien aisé d’aller chercher n’importe quoi gratuitement ou via des systèmes payants suspects, ce n’est jamais sans contre-partie de ce genre, l’usurpation du compte d’autrui. Les vagues sont nombreuses depuis quelques années que ce soit sur Netflix, Spotify, HBO et cie.

Comment ?

Credential Stuffing
Credential Stuffing

La bonne vieille technique du fishing ou du malware reste probablement la plus efficace, mais dans mon cas, dans la mesure où j’avais utilisé un mot de passe de 1° génération, ils auront plutôt profité d’une faille sur un autre site web leur permettant de mettre en lien le login et le mot de passe afin de tenter de se connecter. C’est ce que l’on appelle le credential stuffing. Je vais donc m’assurer de revoir l’ensemble de mes binômes afin de m’assurer qu’aucun site « important » n’utilise encore ce genre de mot de passe et les monter en génération 4, plus complexe et personnalisée.

Plus étonnamment j’ai tout de même lu cette subtilité utilisée par les hackers :

La technique des fraudeurs est simple. Les adresses utilisées pour les abonnements sont très souvent des adresses Gmail. Elles ne tiennent pas compte des points, donc les mails envoyés à johnsmith@gmail.com sont aussi transmis à john.smith@gmail.com. Ils créent donc une adresse quasiment similaire à celle d’un abonné en y rajoutant ou en enlevant un point. Quand l’abonné reçoit un mail de Netflix l’invitant à mettre à jour ses données bancaires, le hacker n’a plus qu’à changer l’adresse mail liée au compte Netflix. Il peut ensuite profiter du service de SVOD gratuitement. (Lu sur MCETV)

 

Vous aimerez aussi
XmasGift for a Geek, version 2023
XmasGift for a Geek, version 2023

Oui, je suis Père Noël, je suis en retard, encore en retard ! Mais bon, j'avais pris l'habitude que tu (Lire la suite)

Trop tard pour un Happy Geekmas ?
Trop tard pour un Happy Geekmas ?

Il parait que le Joueur du Grenier est à la bourre, il n'est pas prêt pour son épisode de Noël. (Lire la suite)

Spotify, non merci.
Spotify, non merci.

Rien à faire, la musique dématérialisée, cela ne me parle pas sous ce format payant. Entre 119€ et 179€ par (Lire la suite)

2 réflexions sur « Ils ont piraté mon compte Netflix. »

  1. Le coup des adresses avec un point en plus sur gmail m\’a l\’air du hoax: selon leur propre FAQ (https://support.google.com/mail/answer/7436150) les points n\’ont pas d\’importance dans les adresses e-mails de google: si tu choppe \ »helloworld@gmail.com\ », tu es automatiquement propriétaire de \ »hello.world@gmail.com\ », \ »hell.o.world@gmail.com\ », etc.

  2. Ce ne serait donc pas entièrement un hoax. si j’ai une adresse pier.matin.be@gmail.com cela veut dire que je pourrais recevoir un email à l’adresse piermatinbe@gmail.com… Par contre, un autre individu ne pourrait pas créer une adresse email piermatinbe@gmail.com afin de pouvoir récupérer mes emails…
    le tout est alors de voir comment un hacker peut exploiter cela pour récupérer des informations. Il lui faut en tout cas avoir le controle de ce compte @gmail appertenant avant à autrui et utiliser cette technique en faisant croire un changement d’adresse email sur des plateformes utilisant celui-ci pour ensuite récupérer des informations plus sensibles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.