Ils ont piraté mon compte Netflix.

Ils ont piraté mon compte Netflix.

Mauvaise surprise ce matin, le fiston me dit que Netflix ne fonctionne pas. Effectivement, je suis déconnecté sur la télévision… mais bizarrement, mon adresse email n’est plus reconnue. Après vérification de cette dernière dans ma boite à mail, je constate avoir reçu durant la nuit deux emails.

Un premier m’annonce une tentative de connexion inhabituelle depuis l’Algérie. L’autre quelques secondes plus tard la confirmation du changement d’adresse email pour l’identification à mon compte Netflix. Diable, Netflix ne semble pas très efficace pour la protection de mes données, je n’ai rien pu faire ! Il aurait fallut que je change à la seconde même mon mot de passe, soit vers 2h du matin…. Et encore !

Après de longs échanges avec le SAV en anglais, j’ai pu modifier à nouveau l’adresse email pour la cibler sur une autre de mes adresses puis renforcer le mot de passe afin d’éviter de nouvelles mauvaises surprises de ce genre ! Dans la bagarre, le hacker a eu le temps de supprimer tout mon historique et modifier mon abonnement vers la formule la plus élevée, qui permet de l’utiliser avec une nombre important d’utilisateurs en simultané.

Pourquoi ?

Ce n’est bien entendu pas pour son plaisir personnel, mais bien pour revendre ensuite mon compte pour une poignée d’euro sur le marché noir…. Et oui, si parfois il est bien aisé d’aller chercher n’importe quoi gratuitement ou via des systèmes payants suspects, ce n’est jamais sans contre-partie de ce genre, l’usurpation du compte d’autrui. Les vagues sont nombreuses depuis quelques années que ce soit sur Netflix, Spotify, HBO et cie.

Comment ?

Credential Stuffing
Credential Stuffing

La bonne vieille technique du fishing ou du malware reste probablement la plus efficace, mais dans mon cas, dans la mesure où j’avais utilisé un mot de passe de 1° génération, ils auront plutôt profité d’une faille sur un autre site web leur permettant de mettre en lien le login et le mot de passe afin de tenter de se connecter. C’est ce que l’on appelle le credential stuffing. Je vais donc m’assurer de revoir l’ensemble de mes binômes afin de m’assurer qu’aucun site “important” n’utilise encore ce genre de mot de passe et les monter en génération 4, plus complexe et personnalisée.

Plus étonnamment j’ai tout de même lu cette subtilité utilisée par les hackers :

La technique des fraudeurs est simple. Les adresses utilisées pour les abonnements sont très souvent des adresses Gmail. Elles ne tiennent pas compte des points, donc les mails envoyés à johnsmith@gmail.com sont aussi transmis à john.smith@gmail.com. Ils créent donc une adresse quasiment similaire à celle d’un abonné en y rajoutant ou en enlevant un point. Quand l’abonné reçoit un mail de Netflix l’invitant à mettre à jour ses données bancaires, le hacker n’a plus qu’à changer l’adresse mail liée au compte Netflix. Il peut ensuite profiter du service de SVOD gratuitement. (Lu sur MCETV)

 

Vous aimerez aussi...

  • Scoop : Netflix, bientôt en Belgique. Prêts pour la TV 2.0 ?4 juin 2014 Scoop : Netflix, bientôt en Belgique. Prêts pour la TV 2.0 ? (0)
    Netflix s'apprête à débarquer en France et en Belgique, ça va le faire quand même.... Pour les curieux, j'ai mis de côtés ces deux articles de Geeko et Sitegeek qui vous proposent déjà […]
  • 2017 de la 4K et Netflix20 janvier 2017 2017 de la 4K et Netflix (6)
    Nous voici en 2017 et j'ai enfin testé Netflix! Avec un bouton aussi large sur la télécommande de la nouvelle télévision 4K, je me suis dit qu'il était temps d'aller jeter un œil à ce que […]
  • 100% e-Media : Pourquoi les films et séries quittent Netflix ?6 avril 2017 100% e-Media : Pourquoi les films et séries quittent Netflix ? (0)
    Difficile de juger la pertinence de cette information en provenance de 7sur7, néanmoins, s'il est vrai que Netflix a signé ses premiers contrats en 1997, il est bien certains que depuis […]

2 réactions au sujet de « Ils ont piraté mon compte Netflix. »

  1. Le coup des adresses avec un point en plus sur gmail m\’a l\’air du hoax: selon leur propre FAQ (https://support.google.com/mail/answer/7436150) les points n\’ont pas d\’importance dans les adresses e-mails de google: si tu choppe \”helloworld@gmail.com\”, tu es automatiquement propriétaire de \”hello.world@gmail.com\”, \”hell.o.world@gmail.com\”, etc.

  2. Ce ne serait donc pas entièrement un hoax. si j’ai une adresse pier.matin.be@gmail.com cela veut dire que je pourrais recevoir un email à l’adresse piermatinbe@gmail.com… Par contre, un autre individu ne pourrait pas créer une adresse email piermatinbe@gmail.com afin de pouvoir récupérer mes emails…
    le tout est alors de voir comment un hacker peut exploiter cela pour récupérer des informations. Il lui faut en tout cas avoir le controle de ce compte @gmail appertenant avant à autrui et utiliser cette technique en faisant croire un changement d’adresse email sur des plateformes utilisant celui-ci pour ensuite récupérer des informations plus sensibles.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.