Le service de streaming Twitch a connu l’une des pires fuites de son histoire le 6 octobre 2021. Une archive de plus de 135 Go contenant le code source du site, des projets en développement et les revenus de très nombreux streameurs (et streameuses), a été mise en libre accès sur le net.
Un accès « malveillant » d’après Twitch
C’est une fuite d’ampleur pour Twitch, qui explique être encore en train de travailler « pour comprendre tous les détails de cet incident ». La question primordiale, qui reste en suspens pour le moment est celle de l’origine de la fuite. Pour éviter de se retrouver dans la même panade d’ici quelques mois, il est indispensable pour Twitch de comprendre d’où vient le problème.
Sur cette question, l’entreprise reste pour le moment assez discrète. Dans un billet de blog, Twitch précise simplement que « certaines données ont été exposées sur internet en raison d’une erreur dans un changement de configuration du serveur Twitch, auquel un tiers malveillant a eu accès par la suite ». Une explication quelque peu lacunaire pour une fuite de 135 Go qui concerne 6 000 et quelques dépôts logiciels. Fort heureusement, les mots de passe ne semblent pas être concernés pour le moment.
L’archive à laquelle Numerama a pu avoir accès semble être un copier-coller brut de l’intégralité du site. La structure du dossier rappelle celle d’un serveur de production avec chaque module logiciel et chaque fichier de configuration proprement rangé dans un dossier adapté. L’extraction d’une telle quantité d’information, qui plus est aussi bien structurée, accrédite la thèse d’un « piratage » par un ancien employé.
Des ex-employés avaient toujours accès au site
Dans sa newsletter, le journaliste Casey Newton explique avoir parlé à d’anciens ingénieurs de chez Twitch. Tous pointent du doigt les pratiques de sécurité un peu trop laxiste de l’entreprise. Chaque développeur a accès à tous les dépôts logiciels, même ceux sur lesquels ils ne travaillent pas. Plusieurs d’entre eux auraient même conservé un accès à la base de données, plus d’un après leur départ. Mélangez à ça un manque criant d’outil de sécurité pour se protéger des « attaques » internes, vous obtenez des serveurs ouverts aux quatre vents. « C’est franchement étonnant que ça ne soit pas arrivé plus tôt », assène un ex-employé.
Sur Hacker News, un internaute se présentant comme ex-employé de Twitch explique que « ce qu’il y a ici n’est guère plus que ce à quoi un ingénieur moyen de chez Twitch peut avoir accès ». Concernant les données financières des vidéastes, il explique que « durant très longtemps, n’importe quel employé pouvait y avoir accès en se rendant simplement sur le profil d’un streameur.»
Il parait donc fort probable que cette gigantesque fuite de données vienne d’un employé (ou ex-employé) de Twitch qui avait des comptes à régler avec l’entreprise. Cela ne serait pas incompatible avec le discours officiel de l’entreprise. Le siphonnage de données par un ingénieur peut tout à fait être qualifié de « malveillant », même si aucune faille informatique n’a été véritablement exploitée.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !