De nombreux clients Bouygues Telecom constatent être abonnés à Netflix à leur insu

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 19 mai 2020 à 07h58

L'opérateur indique que les identifiants de connexion utilisés par ses abonnés sur d'autres sites ont été usurpés.

De nombreux clients de Bouygues Telecom ont reçu ces dernières semaines un courrier électronique ainsi qu'un SMS leur indiquant qu'ils venaient de souscrire à un abonnement Netflix via l'opérateur, sans avoir pourtant fait la démarche. Si certains ont cru à une erreur (ou un coup de force) de Bouygues Telecom, l'entreprise a rapidement compris que les clients floués ont vu leur identité être usurpée.

Des identifiants peu sécurisés récoltés sur Internet

Les premiers signalements constatés ont été remontés sur le forum de l'opérateur Bouygues Telecom peu après le début du confinement, aux alentours du 18-19 mars, de façon assez récurrente. Sur le site, des dizaines de clients ont témoigné ces dernières semaines avoir reçu une confirmation d'abonnement à Netflix, par mail et par SMS, sans l'avoir demandée, évidemment.

Le 9 avril, un conseiller de Bouygues Telecom apportait une première réponse sur le forum dédié aux abonnés : « Vos identifiants de connexion à votre Espace Client ont été utilisés à votre insu afin de souscrire à l'option Netflix. Bouygues Telecom n'est pas responsable de l'usurpation et utilisation de vos identifiants pour la souscription de cet abonnement Netflix »

Concrètement donc, et ce qu'il faut avoir à l'esprit, c'est que la souscription est bien frauduleuse, et que l'opérateur n'est pas en cause dans celle-ci, bien qu'ayant été l'instrument du désagrément.

Renforcer la sécurisation des accès aux sites web et applications

De (trop) nombreux clients, peu avertis aux précautions à prendre pour protéger leurs comptes et informations personnelles, ont pris ces dernières années l'habitude d'utiliser les mêmes identifiants de connexion sur différents sites, services ou applications. Dans le cas présent, de nombreux identifiants ont été usurpés sur Internet, sans doute grâce à une protection du mot de passe bien trop faible, avec le but, peut-être, de les revendre par la suite.

Aaron Zander, responsable informatique chez HackerOne qui nous a transmis l'information, rappelle qu' « Il existe des téraoctets de données, des millions et des millions d'emails et de mots de passe, qui s'inscrivent dans la dynamique d'entropie du mot de passe à l'ère numérique. Le mot de passe que nous avons utilisé des centaines de fois au début des années 2000 revient désormais nous hanter ».

Et le spécialiste de la cybersécurité de rappeler qu'outre le devoir de mieux protéger ses identifiants de connexion, il est de la responsabilité des sites web « d'éviter de devenir des bancs d'essai pour la découverte d'informations d'authentification exploitables ». Pour lui, « il est important d'empêcher une personne ou une adresse IP d'effectuer plus que quelques tentatives de connexion ». Les captcha, la limitation du nombre de tentatives possibles ou la détection des navigateurs font partie des solutions qui pourraient permettre d'éviter une certaine insistance des cybercriminels.

Bouygues Telecom, de son côté, a indiqué à chacun de ses clients inopinément abonnés à Netflix que les sommes prélevées seraient remboursées sous forme d'avoir appliqué dès la facture suivante.

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (3)

KlingonBrain

J’ai failli dégainer mon clavier 6 coups

https://www.amazon.fr/Zqsd-Boutons-Cherry-commutateur-testeur/dp/B00AZQKCD4

Jetto

C’est toujours la même rengaine. Le secret qui permet d’authentifier l’utilisateur ne doit pas être partagé avec le service. À la place il faut une preuve nulle de divulgation de connaissances que l’utilisateur connaît le secret.

Maxime_REGENT

Bonjour et merci à la rédaction Clubic pour cet article. Je fais moi-même parti de ces utilisateurs. Par contre il aurait mieux valu enquêter un peu plus en profondeur. Je m’explique… Je travaille dans la sécurité informatique et j’utilise des mots de passe complexe générés aléatoirement (c’est la base) et malgré tout j’ai été victime de cette anomalie. Je préfère utiliser le terme anomalie car je ne crois pas à la thèse d’un piratage externe. Je suis à 4 changements de mots de passe et à chaque fois j’ai des alertes concernant cet espace client. La politique de l’opérateur et la communication qu’il fait aux médias consistent à incriminer l’utilisateur et la faiblesse de ces mots de passe (c’est pas joli joli tout ça). J’espère qu’un autre article verra le jour et fera la lumière sur cette affaire. En attendant j’ai saisi de mon côté les autorités compétentes (ARCEP et CNIL) et compte faire jouer ma protection juridique pour en finir avec cette affaire.