Roku ferme mal la porte de la grange après qu’un demi-million de comptes ont été compromis

Hibou Gourou
Clé de diffusion Roku 4K.
Phil Nickinson / Tendances numériques

J'ai donné du fil à retordre à Roku en mars après avoir découvert que quelque 15 000 comptes avaient été affectés par une faille de sécurité. Pour être honnête, cette violation n’était pas entièrement la faute de Roku car elle a été réalisée via le credential stuffing. C'est la méthode par laquelle les informations d'identification sont utilisées à partir d'une autre fuite et simplement essayées dans divers autres services dans l'espoir que vous ayez réutilisé un mot de passe quelque part. Cette attaque a fait plus de 15 000 coups sûrs.

C'est déjà assez grave. Pire encore, Roku ne disposait toujours pas d'une authentification à deux facteurs, ce qui aurait obligé les malfaiteurs à disposer d'un deuxième ensemble d'informations d'identification et aurait pu empêcher de nombreuses entrées non autorisées.

Mais apparemment, les choses ont empiré à partir de là. Roku a annoncé aujourd'hui que l'enquête sur la violation de 15 000 comptesa révélé une deuxième attaque , « qui a touché environ 576 000 comptes supplémentaires ». (Pour rappel, Roku comptait 80 millions de comptes actifs fin 2023.)

Comme pour la première attaque, Roku affirme qu '"il est probable que les identifiants de connexion utilisés dans ces attaques proviennent d'une autre source, comme un autre compte en ligne, où les utilisateurs concernés peuvent avoir utilisé les mêmes identifiants". En d’autres termes, davantage de credential stuffing. Roku affirme que moins de 400 cas ont vu des achats ou des abonnements de streaming non autorisés utilisant les méthodes de paiement associées à ces comptes.

Tout cela est mauvais. Très mauvais, en fait. (Surtout pour les 400 comptes qui ont réellement vu de l’argent changer de mains.)

Roku active enfin 2FA, en quelque sorte

S’il y a une bonne nouvelle à en tirer, c’est que Roku a enfin activé l’authentification à deux facteurs. Sorte de. Tout d’abord, voici ce que Roku avait à dire dans son message annonçant la deuxième violation :

« Dans le cadre de notre engagement continu en faveur de la sécurité des informations, nous avons activé l'authentification à deux facteurs (2FA) pour tous les comptes Roku, même pour ceux qui n'ont pas été touchés par ces récents incidents. Par conséquent, la prochaine fois que vous tenterez de vous connecter à votre compte Roku en ligne, un lien de vérification sera envoyé à l'adresse e-mail associée à votre compte et vous devrez cliquer sur le lien dans l'e-mail avant de pouvoir accéder au compte. .»

Cette deuxième partie est importante. La principale authentification à deux facteurs mise en œuvre par Roku est qu'il vous enverra un lien, par e-mail, comme forme d'authentification secondaire. C'est mieux que rien. Vous pouvez également saisir les cinq derniers chiffres de l'identifiant de votre appareil si, pour une raison quelconque, vous ne parvenez pas à accéder à votre adresse e-mail pour cliquer sur le lien.

L'e-mail que vous recevez si vous essayez de vous connecter à votre compte Roku.
Roku vous enverra désormais un e-mail avec un lien unique à usage unique lorsque vous essayez de vous connecter à votre compte. Phil Nickinson / Tendances numériques

Ce que vous n'obtenez pas, c'est aucune option. Vous ne pouvez pas choisir si l'authentification à deux facteurs se fait par « lien magique » (dans lequel l'entreprise vous envoie un lien temporaire pour approuver l'accès), ou par code temporel via SMS ou application d'authentification. Ou une autre méthode. Ce n'est pas la fin du monde, je suppose. Un lien envoyé par courrier électronique est assez simple, à condition que le compte de messagerie lui-même ne soit pas également compromis.

Mais ce n’est pas non plus sans problèmes.

Activation de l'appareil post-2FA

Juste pour tester les choses, j'ai réinitialisé le mot de passe de mon compte Roku. Toutes les connexions ultérieures ont abouti à ce que Roku m'envoie un e-mail avec un lien sur lequel cliquer, tout comme Roku l'avait dit. Cela fonctionne bien dans un navigateur Web. Je me connecte avec mon email et mon mot de passe, puis j'attends quelques secondes que Roku m'envoie un lien sur lequel cliquer. Il en va de même pour la connexion à l'application Roku.

L'e-mail reçu après avoir saisi manuellement votre adresse e-mail lors de l'activation d'un appareil Roku.
L'e-mail reçu après avoir saisi manuellement votre adresse e-mail lors de l'activation d'un appareil Roku. Notez à quel point il est différent de l'e-mail que vous recevez si vous avez utilisé le code QR. Phil Nickinson / Tendances numériques

Mais j'ai rencontré des problèmes en essayant de me connecter à une clé de streaming Roku après une réinitialisation matérielle. Il y a deux options ici. Avec un, l'appareil Roku peut afficher un code QR sur le téléviseur. Scannez-le avec votre téléphone et vous êtes invité à vous connecter en utilisant votre e-mail et votre mot de passe. Assez facile. Et cette connexion vous enverra un lien par e-mail sur lequel vous devrez cliquer avant de pouvoir faire quoi que ce soit sur l'appareil que vous essayez d'activer. Seulement, il ne semble pas que l'authentification soit renvoyée à l'appareil.

Mais si vous choisissez l'option par laquelle vous saisissez manuellement votre e-mail à l'aide de la télécommande Roku, vous recevrez un e-mail d'apparence différente. Cliquez sur ce lien et votre appareil Roku s'authentifiera et s'activera, comme il se doit. En d’autres termes, il semble que la méthode du code QR tente de vous connecter à votre compte, tandis que la méthode manuelle tente d’activer correctement l’appareil.

Roku dit qu'il étudie cette partie.

La partie vraiment frustrante

Cela ne devrait vraiment pas être si difficile. L'authentification à deux facteurs n'est pas particulièrement nouvelle. Et bien que tout 2FA ajoute évidemment une couche de complexité à tout système de connexion – et si Roku est connu pour quelque chose, c'est sa simplicité – 2FA est également le genre de chose à laquelle les utilisateurs se sont habitués au fil des ans.

Roku doit faire quelques choses. Le plus important est qu'il doit corriger l'authentification de l'appareil. C'est tout simplement cassé si vous essayez d'utiliser le code QR. (La bonne nouvelle est que cela devrait être un correctif côté serveur.) Cela devrait vous permettre de choisir votre méthode d'authentification. Cela prendrait probablement un peu plus de temps à déployer. Mais étant donné que Roku aurait dû disposer d’un 2FA approprié il y a des années, ce n’est guère une excuse.

La sécurité sera toujours une bataille difficile. C'est trop facile pour les méchants de jouer à l'offensive. La défense coûte cher et prend du temps. Mais cela n’en devient pas moins important. Roku doit encore faire mieux.