Twitch est victime d'un incident majeur. D'importantes quantités d'informations confidentielles se sont retrouvées en ligne, mais aussi du code source, des outils internes et des listes indiquant les gains des streameurs et les streameuses. Twitch a confirmé en être victime.

Fuite de Twitch : de quoi s’agit-il ?

C’est peut-être la pire fuite d’informations dont a jamais été victime Twitch. Selon des éléments publiés sur le web ce mercredi 6 octobre, la plateforme de diffusion en direct est victime d’un colossal incident, qui a abouti à la diffusion de nombreuses informations confidentielles, notamment les sommes récoltés par les vidéastes au cours des trois dernières années.

Quelques heures plus tard, dans un message officiel publié à 17h, Twitch a confirmé qu’une « compromission » avait bien eu lieu. « Nos équipes travaillent dans l’urgence pour comprendre ce qu’il s’est passé », est-il écrit.

Un gigantesque fichier

Les données de cette fuite sont proposées dans un fichier torrent, qui circule entre autres sur 4chan, le célèbre imageboard — une sorte de forum spécialisé où tout le monde est anonyme — à la réputation très sulfureuse. L’archive en question pèse plus de 135 Go et est partagée dans des sections spécifiques du site 4chan.

Quelques informations ont été copiées sur la plateforme Pastebin en parallèle (à savoir les gains des streameurs et streameuses), mais ce lien a ensuite été rendu inactif.

Numerama a pu accéder à ces documents Pastebin, ainsi qu’à certains fils Twitter et aux discussions sur 4chan. Nous sommes en train de vérifier la véracité de cet immense leak et les éléments que l’on a pu voir, notamment dans le code source, crédibilisent la réalité de la fuite. Nous avons par ailleurs pris contact avec Twitch pour confirmer la réalité de l’incident et obtenir des précisions, le cas échéant, sur les circonstances de la fuite.

De toute évidence, et selon nos premières observations, tous les documents semblent être authentiques.

Twitch 4Chan
La publication apparue sur 4Chan, qui renseigne les liens (non visibles sur cette capture) et explique la démarche.

D’après une source anonyme qui travaille pour l’entreprise, et qui s’est livrée au site VideoGamesChronicle, toutes ces informations sont réelles. Elles auraient été récupérées le lundi 4 octobre 2021. Au moins un streameur français, Zerator, a confirmé la véracité des chiffres qui circulent.

Cette fuite pourrait être suivie par une ou plusieurs autres. En effet, sur l’un des fils publiés sur 4chan, l’intitulé du titre annonce « twitch leaks part one ». Il n’est toutefois pas précisé quand la ou les prochaines divulgations surviendront, ni ce qu’elles contiendront. Il est à craindre que les prochaines compromissions affectent les internautes ayant un compte, ou plus largement Amazon, la maison-mère de Twitch.

Qu’est ce qui a fuité ?

L’intégralité du code source de Twitch

D’après l’internaute ayant mis en ligne l’archive de 135 et quelques gigas, la fuite d’aujourd’hui concerne surtout les dépôts logiciels de Twitch. Cela comprendrait donc le code source du site, de différentes applications mobiles, les outils de modérations, de développement ainsi que tout l’historique du code. Cela constituerait déjà une base de données considérable puisqu’avoir accès à tous ces outils permet d’y déceler des failles, de comprendre le fonctionnement des algorithmes, des outils de recommandations, etc.

Les revenus des streameurs Twitch

Il semblerait que des informations financières aient également fuité. Les revenus (sur 3 ans) de plus de 10 000 streamers Twitch ont été publiés sur le net.  Il paraît cela dit peu probable que Twitch héberge ce genre de données sur ses dépôts logiciels. La fuite des données comptables semble plus servir à attirer l’attention sur ce leak de grande ampleur. L’idée, d’après l’un des responsables à l’origine de la fuite, semble aussi de mettre les streamers dans une position inconfortable.

Cette fuite permet cela dit de souligner une triste réalité. Sur les 100 streameurs les mieux payés au monde, il n’y a que trois femmes.

Twitch
D’importantes quantités de données confidentielles liées à Twitch seraient désormais dans la nature. // Source : Marco Verch

Vapor

La fuite concernerait aussi des projets en développement. Parmi eux, on trouve des traces du projet Vapor, un concurrent au magasin de jeux Steam que serait en train de développer Amazon.

Codes d’accès AWS

Enfin, pour ne rien arranger, certains codes d’accès à la plateforme AWS (qui héberge Twitch) semblent aussi disponibles dans l’archive. Une très mauvaise nouvelle pour Twitch et Amazon puisque l’accès aux serveurs de mise en production ouvre énormément de portes pour récupérer encore plus de données.

Des mots de passe ?

D’après l’entreprise, les mots de passe et les informations de paiement des spectateurs de Twitch ne sont pas concernés par cette fuite. La probabilité que ces données apparaissent dans un éventuel second leak n’est pas nulle, mais selon l’enquête menée par Twitch, il n’y a « aucune indication que les identifiants de connexion ont été exposés. »

La plateforme utilise de toute façon des méthodes de chiffrement pour garder les mots de passe secrets, même en cas d’intrusion. Il n’est cependant pas exclu que d’autres informations personnelles, comme l’adresse mail ou le numéro de téléphone, puissent avoir été découvertes.

D’autres petits secrets de Twitch

Le streameur britannique OnScreen a remarqué, en épluchant quelques documents de l’immense fichier de leaks de Twitch, une information concernant le mystérieux « Golden Kappa », une émoticône culte sur la plateforme (bien que complètement inconnue des néophytes). La légende de Twitch voulait que cette émoticône était censée être attribuée aléatoirement, par algorithme, à un utilisateur de Twitch à la fois, toutes les 24h. Mais dans le code qui a fuité, on remarque en fait que ce pouvoir dépendait en fait d’une poignée d’employés de Twitch. Un monde s’écroule ?

D’où vient la fuite ?

Pour le moment, Twitch est resté assez discret sur les raisons derrière cette fuite massive de données. L’entreprise s’est contentée de dire que « certaines données ont été exposées sur internet en raison d’une erreur dans un changement de configuration du serveur Twitch, auquel un tiers malveillant a eu accès par la suite ».

De nombreux indices accréditent cependant la thèse d’une attaque venue « de l’intérieur ». Certains ex-ingénieurs expliquent avoir conservé l’accès au code source, même après leurs départs de l’entreprise. De quoi faciliter le piratage de ces données par un employé (ou ex-employé) mécontent.

Qui est concerné ?

En l’état actuel des choses, ce sont surtout les vidéastes qui gagnent leur vie sur Twitch qui sont en difficulté. En effet, leurs gains supposés apparaissent dans la fuite et sont d’ores et déjà mis en forme dans des tableaux pour faciliter la recherche. A priori, les montants en jeu sont les sommes gagnées entre août 2019 et octobre 2021. Certains tableaux classent même les vidéastes en fonction de l’argent perçu.

On trouve naturellement beaucoup de vidéastes d’outre-Atlantique dans ces colonnes, à l’image de Pokimane, Asmongold et HasanAbi, pour n’en citer que trois. Mais on trouve aussi des pointures francophones : Zerator, kamet0, mistermv, Sardoche, Squeezie, Zoltan, Domingo, Ponce, Tonton, Lapi, etc. Pour le dire autrement, c’est tout le Twitch-game qui est mentionné dans ces documents.

Des célébrités du streaming, comme ici Ninja, voient leur business exposé au grand jour. // Source : Capture Youtube / Ninja

L’un des poids lourds du Twitch-game en France, Zerator, s’est fendu d’un long message sur Twitter pour confirmer d’une part que « les chiffres du tableau sont vrais », mais que, par ailleurs, il est important de les contextualiser et de les comprendre : il ne s’agit en aucune façon d’un bénéfice, mais d’un chiffre d’affaires, qui traduit plutôt l’activité économique d’une éventuelle boîte de production derrière un streameur.

« Cet argent n’est pas sur le compte en banque du créateur. […] Ce chiffre ne représente pas tout ce que gagne un créateur », insiste-t-il, en rappelant qu’il réinvestit de l’argent de son entreprise, ZTProd, pour participer au financement de certaines de ses opérations, comme la Zlan (une compétition de joueurs professionnels), qui coûte plus de 400 000 euros, ou une compétition sur TrackMania (plus de 500 000 euros).

Zerator, lors d’un évènement en 2016. // Source : Julien Kuhnel

Il est à noter qu’il s’agit d’informations financières brutes, c’est-à-dire sans les impôts. C’est ce que précise Zerator en faisant remarquer qu’il est résident fiscal français — une trajectoire qui peut toutefois varier d’un streameur à l’autre. Zoltan, un autre vidéaste français qui figure dans la fuite, souligne aussi que cet argent ne va pas dans les poches de tel ou tel, mais sert aussi à faire tourner des entreprises.

En tout, un document Pastebin liste pas moins de 10 000 noms de vidéastes. Un autre, qui circule également, renseigne par exemple les sommes obtenues en septembre 2021. Il est à noter que les montants en jeu sont uniquement ceux provenant directement de Twitch. Ils n’incluent pas les sommes pouvant être perçues à côté, comme les dons, le sponsoring, la vente de produits dérivés et ainsi de suite…

Concernant le public, il n’est pas avéré que des informations personnelles ont été sorties. Du moins, la première archive qui tourne ne paraît pas en contenir. Il n’y a pas non plus, manifestement, de fichiers qui renseigneraient sur des combinaisons d’identifiants et de mots de passe permettant d’accéder aux comptes individuels. Mais il pourrait être avisé de changer de mot de passe et d’activer l’authentification forte.

Pourquoi Twitch se prend une telle attaque ?

Les motivations derrière cette opération de grande ampleur qui vient de frapper Twitch sont incertaines, mais la publication sur 4chan décrit Twitch et sa communauté comme « un cloaque toxique dégoûtant ». Le message ne dit pas en quoi, mais la plateforme est souvent pointée du doigt sur les problèmes de harcèlement sexuel, de sexualisation des vidéastes ou encore de haine.

Récemment, des vidéastes s’étaient rassemblés pour une opération de grève sur Twitch pour demander au service de prendre des mesures beaucoup plus fortes contre les raids hostiles visant des streameurs et des streameuses en raison de leur origine ethnique, de leur orientation sexuelle ou genre. Twitch a dernièrement activé de nouvelles dispositions pour mieux sécuriser les tchats.

Le message publié sur 4chan justifie aussi cette attaque au nom d’une concurrence plus saine dans le secteur du streaming de jeu vidéo, qui est dominé quasi-exclusivement par la filiale d’Amazon, malgré la tentative de YouTube Gaming. En publiant cette fuite, il s’agirait de « favoriser la disruption et la concurrence dans le domaine du streaming vidéo en ligne ». Et pour cela, il a fallu, continue la publication, « éclater complètement » Twitch.

Article en cours de développement.

Crédit photo de la une : Nino Barbey pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux