Spotify (qui compte près de 700 millions d'utilisateurs actifs, dont 265 millions d'abonnés premium) ou son homologue français Deezer et ses 3,5 millions d’abonnés français, représentent des plateformes de streaming musical majeures. Il n'est donc pas surprenant que ces acteurs attirent également toutes sortes d'acteurs malveillants désireux d'exploiter leurs utilisateurs.

Les comptes Spotify et Deezer représentent des actifs numériques précieux qui peuvent être monétisés par le biais de multiples moyens, notamment sur le dark web ou depuis de discrets outils comme Telegram. Bien que réduits par rapport aux coûts d'abonnement légitimes, les prix des comptes Spotify piratés génèrent souvent des profits substantiels lorsqu'ils sont vendus en masse. Une seule campagne de phishing réussie ciblant les utilisateurs de Spotify peut produire un grand nombre de comptes, ce qui se traduit par des revenus illégaux considérables.

Les comptes compromis fournissent des données personnelles précieuses qui peuvent être utilisées pour l'usurpation d'identité ou les attaques d'ingénierie sociale. L'accès à un compte Spotify peut révéler des informations personnelles, des détails de paiement, des habitudes d'écoute et des connexions aux réseaux sociaux et à d'autres services en ligne, ce qui crée des opportunités pour des attaques ciblées supplémentaires.

En outre, les comptes piratés servent à gonfler artificiellement le nombre de streams. Cette pratique, connue sous le nom de « fraude au streaming » (ou faux streams, streaming artificiel ou encore fraude à la diffusion en continue) consiste à utiliser des réseaux de comptes compromis pour diffuser de manière répétée des morceaux spécifiques, générant ainsi des paiements de redevances frauduleux. Selon Beatdapp, une plateforme de détection des fraudes en matière de streaming, au moins 10 % de tous les flux de chansons sont frauduleux, ce qui prive l'industrie mondiale de la musique de 3 milliards de dollars par an.

La première chose à faire pour se protéger est de comprendre comment les comptes Spotify peuvent être piratés. Voici les principales tactiques utilisées par les cybercriminels pour obtenir les informations d'identification des utilisateurs, les signes d'alerte à surveiller et les moyens de savoir si votre compte a été compromis.

Hameçonnage

Les e-mails de phishing sont une tactique courante, même si les techniques des malfaiteurs ont largement évolué, allant au-delà des pièges flagrants, identifiables aux fautes d'orthographe et autres indices révélateurs. Désormais, de nombreuses campagnes d'hameçonnage s'appuient sur des techniques avancées d'ingénierie sociale (notamment grâce à l’IA) et des éléments visuels convaincants qui peuvent tromper même les utilisateurs les plus prudents.

En général, les arnaques par hameçonnage commencent souvent par un e-mail concernant des problèmes supposés graves liés à votre compte, comme « Mode de paiement refusé : l'abonnement sera annulé ». Ces messages créent un sentiment d'urgence et influencent souvent le jugement, augmentant ainsi le risque d'actions précipitées, surtout s'ils sont édités avec des logos officiels de Spotify ou Deezer et présentent une communication ressemblante à celle de ces deux plateformes.

Par exemple, un e-mail d'hameçonnage peut prétendre que votre compte sera désactivé en raison d'un problème de paiement. Il vous invite ensuite à cliquer sur un lien pour « résoudre » le problème. Au lieu de cela, vous atterrirez sur un site frauduleux conçu pour voler vos identifiants de connexion et potentiellement d'autres informations sensibles.

spotify-phishing
Exemple d'un e-mail de phishing se faisant passer pour Spotify (source:Spotify.com)

Les liens d'hameçonnage redirigent généralement les utilisateurs vers des sites web frauduleux qui reproduisent souvent la page de connexion de Spotify, et dont les noms de domaine semblent même légitimes, à première vue.

Voici quelques conseils de cyberhygiène simples qui contribueront largement à renforcer votre sécurité en ligne :

  • Restez sceptique face aux demandes d'informations personnelles : Spotify ou Deezer ne vous demanderont jamais vos données, vos moyens de paiement ou votre mot de passe, ni de payer via des tiers ou de télécharger des pièces jointes dans des e-mails.
  • Vérifiez soigneusement l'adresse de l'expéditeur : les e-mails légitimes proviennent de domaines se terminant par « @spotify.com » ou « @deezer.com »
  • Vérifiez les fautes d'orthographe et de grammaire, ainsi que tout autre signe inhabituel : les e-mails légitimes ne contiennent généralement pas ce genre d'erreurs.
  • Survolez un lien sans cliquer pour afficher l'URL de destination.
  • Accédez manuellement à Spotify ou Deezer en saisissant l'URL dans votre navigateur plutôt qu'en cliquant sur les liens provenant d'e-mails.
  • Protégez votre compte avec un mot de passe fort et unique, stocké dans un gestionnaire de mots de passe, et activez l'authentification à deux facteurs, de préférence via une application d'authentification ou une clé de sécurité matérielle.

Fausses applications

L'attrait pour les fonctionnalités avancées et l'accès premium gratuit a entraîné une prolifération d'applications Spotify tierces illégitimes. Ces applications non officielles semblent apparemment inoffensives et conçues pour améliorer les fonctionnalités alors qu’elles contiennent des logiciels délibérément malveillants pensés pour collecter des identifiants.

En faisant miroiter des fonctionnalités alléchantes comme le blocage des publicités et l'amélioration de l'expérience Spotify gratuite, ces applications cherchent à prendre le contrôle du compte.

spotify-app-fake
Exemple d’une publicité faisant la promotion d’une application douteuse (source: Volt.fm)

Pour vous protéger, privilégiez les sites d'applications officielles et téléchargez l'application Spotify ou Deezer uniquement depuis les boutiques officielles : l'App Store d'Apple pour les appareils iOS, le Google Play Store pour les appareils Android et spotify.com ou deezer.com pour les applications de bureau.

Évitez les outils tiers qui promettent d'améliorer Spotify ou Deezer ou de fournir des fonctionnalités premium gratuites, car ils sont presque toujours malveillants. De plus, vérifiez régulièrement les applications installées sur vos appareils et supprimez celles que vous ne reconnaissez pas ou que vous n'utilisez plus.

Logiciels malveillants

Le paysage des malwares ciblant les identifiants des services de streaming est devenu de plus en plus sophistiqué. Au-delà des simples enregistreurs de frappe, les cybercriminels peuvent désormais déployer des logiciels malveillants spécifiquement conçus pour cibler les identifiants des services de divertissement, par exemple en se faisant passer pour des extensions de navigateur promettant d'améliorer l'expérience de streaming ou de permettre le téléchargement de contenu pour une utilisation hors ligne. Les logiciels malveillants voleurs d'informations sont également souvent diffusés via des téléchargements de logiciels compromis ou des pièces jointes malveillantes.

Maintenez tous vos logiciels à jour, car ces mises à jour incluent souvent des correctifs de sécurité pour les vulnérabilités connues. Utilisez une solution de sécurité fiable avec des fonctionnalités de protection en temps réel. Soyez prudent lorsque vous accordez des autorisations aux applications, en particulier celles qui demandent l'accès à des fonctions sensibles comme les services d'accessibilité ou les gestionnaires de mots de passe.

Fuites de données

Les violations de données entraînent souvent des piratages de comptes, notamment en raison de la tendance des utilisateurs à réutiliser/recyler leurs mots de passe sur différents services. Compte tenu de l'interconnexion de nos vies numériques, une violation de données sur un service peut compromettre des comptes sur plusieurs plateformes. Il est arrivé que des identifiants exposés lors de violations ou de fuites de données majeures soient utilisés avec succès dans des attaques de « credential stuffing » sur des milliers de comptes Spotify. Deezer a également subi une importante fuite de données en 2019 avec les données de 250 millions d’utilisateurs.

Pour votre sécurité, ne recyclez jamais vos mots de passe et choisissez-les toujours uniques. Vous pouvez également utiliser un gestionnaire de mots de passe fiable et réputé pour générer des mots de passe uniques et complexes pour chaque service et ainsi les stocker de manière sécurisée. Ainsi, vous ne retenez qu'un seul mot de passe principal. De plus, surveillez régulièrement les services de notification de violations comme HaveIBeenPwned, qui vous alerteront si votre adresse e-mail apparaît dans de nouvelles violations de données, vous permettant ainsi d'agir immédiatement avant qu'il ne soit trop tard. ESET Home Security Ultimate vous propose d’ailleurs une fonctionnalité de protection de l’identité et vous informe dès lors qu’une fuite de données vous concerne.

Comment savoir si mon compte Spotify/Deezer a été piraté ?

Le signe le plus évident est une modification inattendue des paramètres de votre compte ou des détails de votre abonnement. Il peut s'agir de mises à niveau ou de baisses non autorisées de votre abonnement, de modifications de votre adresse e-mail ou de vos informations de paiement.

Une activité inhabituelle dans votre historique d'écoute ou vos playlists peut également indiquer une compromission de votre compte. Cela peut se manifester par l'apparition d'artistes inconnus dans vos morceaux récemment écoutés. Dans d'autres cas, vous pourriez constater la disparition inexpliquée de playlists que vous avez créées ou l'apparition de nouvelles playlists que vous n'avez pas créées.

Il en va de même pour les anomalies de session, qui peuvent également révéler un accès non autorisé. La page de votre compte Spotify affiche tous les appareils sur lesquels votre compte est actuellement actif. La présence d'appareils ou d'emplacements inconnus dans cette liste suggère fortement que votre compte a été compromis. De même, si vous vous retrouvez fréquemment déconnecté de Spotify ou Deezer de manière inattendue, cela peut indiquer que quelqu'un d'autre accède à votre compte et déclenche des limites de session.

Si vous remarquez une activité inhabituelle, consultez cette page Spotify ou Deezer et agissez immédiatement :

  • Déconnectez-vous de tous vos appareils via les paramètres de votre compte.
  • Modifiez ensuite immédiatement votre mot de passe, en vous assurant qu'il est complexe et unique.
  • Vérifiez et révoquez l'accès à toutes les applications tierces que vous ne reconnaissez pas ou que vous n'utilisez plus.
  • Enfin, contactez le service client Spotify ou Deezer pour signaler l'accès non autorisé et demander des mesures de sécurité supplémentaires pour votre compte.

Sécurisez votre monde numérique

Assurez-vous de protéger chaque recoin de votre expérience en ligne. Les quelques minutes passées à sécuriser votre compte aujourd'hui pourraient vous épargner des heures de frustration demain. En effet, une fois que vous maîtriserez les tactiques des attaquants et les stratégies de protection, vous pourrez fermer la porte aux hackers.

Mais n'oubliez pas que la sécurité n'est pas une fonctionnalité que l'on configure et que l’on oublie. C'est une pratique de tous les jours, qui évolue aussi vite que les menaces elles-mêmes. Restez informé des dernières menaces qui guettent l'espace numérique.