Twitch fait savoir qu'il n'a aucun élément qui lui fait dire que les identifiants et les mots de passe sur le site ont été exposés par l'importante fuite de données. Les informations de paiement ne sont pas plus compromises.

Les circonstances dans lesquelles est survenue la vaste fuite de données qui a ébranlé Twitch dans la journée du 6 octobre font, à ce stade, toujours l’objet d’investigations de la part de la plateforme de diffusion en direct. La piste que le site est en train de remonter serait « une erreur dans un changement de configuration du serveur Twitch, auquel un tiers malveillant a ensuite eu accès ».

L’enquête en cours doit notamment déterminer la nature de cet accès et le profil de ce tiers malveillant. La nature des documents qui ont fuité plaide a priori davantage pour un incident interne, volontaire ou non, venant d’un (ex-)employé de l’entreprise, plutôt qu’une attaque informatique permise par la découverte d’une faille critique exploitée à distance.

Pas de risque découvert pour les mots de passe Twitch

La bonne nouvelle, toutefois, c’est que l’examen en cours de son infrastructure permet à Twitch d’écarter a priori deux menaces :

  • Une éventuelle fuite ultérieure de combinaisons d’identifiants et de mots de passe, qui donneraient accès à des comptes sur le site (que ce soit de vidéastes ou de spectateurs),
  • et une divulgation d’informations de paiement (les numéros de cartes bancaires par exemple).

« Pour le moment, nous n’avons aucune indication que les identifiants de connexion ont été exposés. Nous continuons à enquêter », écrit ainsi la société. « De plus, les numéros de carte de paiement complets ne sont pas stockés par Twitch, donc les numéros de carte de crédit complets n’ont pas été exposés ». Cela étant, il peut être avisé d’envisager de revoir la sécurité de son compte.

Changer sa serrure numérique sur son compte Twitch peut être justifié. // Source : Twitch

Plusieurs recommandations : outre le changement immédiat du mot de passe, au cas où, une autre modification du mot de passe quelques jours plus tard peut-être pertinente, une fois que l’on aura la certitude que les éventuels accès compromis ont été bouchés ou que la présence d’un hypothétique acteur malveillant encore présent dans l’infrastructure de Twitch a été éjectée.

Par ailleurs, il est conseillé d’activer l’authentification forte si ce n’est pas déjà fait : de cette manière, vous bénéficiez d’une seconde couche de protection qui assure vos arrières si par malheur votre mot de passe Twitch est dans la nature (veillez, à ce sujet, à ce qu’il ne soit pas réutilisé ailleurs : sinon, il faut le changer sur les autres sites). Et pour les vidéastes, une réinitialisation de la clé de streaming peut être judicieuse.

Crainte d’une nouvelle fuite avec « twitch leaks part two »

La crainte d’un incident affectant les mots de passe des vidéastes ou des spectateurs avait été indirectement alimentée par la manière dont la fuite a été présentée le 6 octobre, car elle est intitulée « twitch leaks part one ». Mais en l’état actuel des choses, il n’y pas encore eu « twitch leaks part two ». Il n’est pas impossible de penser qu’il s’agit d’un bluff ou que cette « part two » soit peu spectaculaire.

La diffusion de la fuite a bénéficié d’une importante caisse de résonance, car elle a été mise en scène avec le partage des revenus des vidéastes. Ces éléments financiers, qui peuvent être spectaculaires de prime abord, ont été présentés sans contexte, mais ont permis très habilement d’attirer l’attention du public et des médias, en suggérant que l’on peut brasser beaucoup d’argent « en jouant juste aux jeux vidéo » — ce qui est en réalité un énorme raccourci.

Twitch 4Chan
Le message de départ promettait au moins une nouvelle fuite.

L’examen des données, qui se poursuit toujours, avait déjà permis d’écarter la présence de mots de passe dans cette première archive. Cela étant, sa gravité reste importante, car des pans entiers du code source se sont retrouvés dans la nature (au-delà des anecdotes comme le Golden Kappa) qui donnent des indications sur la stratégie de Twitch ou bien des indices sur ses techniques de modération.

Ces informations sont dommageables non seulement pour la société, qui voit certains de ses plans exposés, mais aussi pour le public et les vidéastes, car la disponibilité du code est susceptible de permettre la découverte de vulnérabilités à exploiter plus tard. Par ailleurs, des indications sur la manière dont la lutte contre la fraude, le spam, le harcèlement, les bots est organisée pourraient affaiblir les défenses du site.

Crédit photo de la une : Marco Verch

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux