Les circonstances dans lesquelles est survenue la vaste fuite de données qui a ébranlé Twitch dans la journée du 6 octobre font, à ce stade, toujours l’objet d’investigations de la part de la plateforme de diffusion en direct. La piste que le site est en train de remonter serait « une erreur dans un changement de configuration du serveur Twitch, auquel un tiers malveillant a ensuite eu accès ».
L’enquête en cours doit notamment déterminer la nature de cet accès et le profil de ce tiers malveillant. La nature des documents qui ont fuité plaide a priori davantage pour un incident interne, volontaire ou non, venant d’un (ex-)employé de l’entreprise, plutôt qu’une attaque informatique permise par la découverte d’une faille critique exploitée à distance.
Pas de risque découvert pour les mots de passe Twitch
La bonne nouvelle, toutefois, c’est que l’examen en cours de son infrastructure permet à Twitch d’écarter a priori deux menaces :
- Une éventuelle fuite ultérieure de combinaisons d’identifiants et de mots de passe, qui donneraient accès à des comptes sur le site (que ce soit de vidéastes ou de spectateurs),
- et une divulgation d’informations de paiement (les numéros de cartes bancaires par exemple).
« Pour le moment, nous n’avons aucune indication que les identifiants de connexion ont été exposés. Nous continuons à enquêter », écrit ainsi la société. « De plus, les numéros de carte de paiement complets ne sont pas stockés par Twitch, donc les numéros de carte de crédit complets n’ont pas été exposés ». Cela étant, il peut être avisé d’envisager de revoir la sécurité de son compte.
Plusieurs recommandations : outre le changement immédiat du mot de passe, au cas où, une autre modification du mot de passe quelques jours plus tard peut-être pertinente, une fois que l’on aura la certitude que les éventuels accès compromis ont été bouchés ou que la présence d’un hypothétique acteur malveillant encore présent dans l’infrastructure de Twitch a été éjectée.
Par ailleurs, il est conseillé d’activer l’authentification forte si ce n’est pas déjà fait : de cette manière, vous bénéficiez d’une seconde couche de protection qui assure vos arrières si par malheur votre mot de passe Twitch est dans la nature (veillez, à ce sujet, à ce qu’il ne soit pas réutilisé ailleurs : sinon, il faut le changer sur les autres sites). Et pour les vidéastes, une réinitialisation de la clé de streaming peut être judicieuse.
Crainte d’une nouvelle fuite avec « twitch leaks part two »
La crainte d’un incident affectant les mots de passe des vidéastes ou des spectateurs avait été indirectement alimentée par la manière dont la fuite a été présentée le 6 octobre, car elle est intitulée « twitch leaks part one ». Mais en l’état actuel des choses, il n’y pas encore eu « twitch leaks part two ». Il n’est pas impossible de penser qu’il s’agit d’un bluff ou que cette « part two » soit peu spectaculaire.
La diffusion de la fuite a bénéficié d’une importante caisse de résonance, car elle a été mise en scène avec le partage des revenus des vidéastes. Ces éléments financiers, qui peuvent être spectaculaires de prime abord, ont été présentés sans contexte, mais ont permis très habilement d’attirer l’attention du public et des médias, en suggérant que l’on peut brasser beaucoup d’argent « en jouant juste aux jeux vidéo » — ce qui est en réalité un énorme raccourci.
L’examen des données, qui se poursuit toujours, avait déjà permis d’écarter la présence de mots de passe dans cette première archive. Cela étant, sa gravité reste importante, car des pans entiers du code source se sont retrouvés dans la nature (au-delà des anecdotes comme le Golden Kappa) qui donnent des indications sur la stratégie de Twitch ou bien des indices sur ses techniques de modération.
Ces informations sont dommageables non seulement pour la société, qui voit certains de ses plans exposés, mais aussi pour le public et les vidéastes, car la disponibilité du code est susceptible de permettre la découverte de vulnérabilités à exploiter plus tard. Par ailleurs, des indications sur la manière dont la lutte contre la fraude, le spam, le harcèlement, les bots est organisée pourraient affaiblir les défenses du site.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !