Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Piraté, Twitch a laissé filer des mots de passe en clair

C'est du propre
Internet 3 min
Piraté, Twitch a laissé filer des mots de passe en clair

Cette nuit, la plateforme de Streaming Twitch a fait savoir à ses utilisateurs qu'elle a été victime d'un piratage au début du mois de mars. Selon la société, un certain nombre d'utilisateurs ont « peut-être » pu voir leurs mots de passe interceptés, laissant ainsi aux pirates la possibilité d'accéder à certaines données personnelles.

« Nous vous écrivons pour vous faire savoir qu'il y a pu y avoir des accès non-autorisés aux informations de compte de certains utilisateurs de Twitch ». Dans l'annonce publiée sur le blog de Twitch, les mots sont soigneusement pesés, mais cela ne change pas grand-chose aux faits. Les serveurs de la plateforme de vidéo ont été victimes d'une intrusion, qui a pu permettre à des pirates de faire main-basse sur un certain nombre de données personnelles déposées par les utilisateurs. 

Un malware bien trop curieux

Dans les mails reçus par les utilisateurs concernés par le vol de données, Twitch explique que l'attaque a eu lieu le 3 mars dernier. Un logiciel malveillant présent sur les serveurs de la plateforme « aurait pu intercepter en clair les informations de connexion (login, mot de passe) des utilisateurs ». La société précise que normalement, les mots de passe sont chiffrés avant d'être stockés.

Par conséquent, les pirates pouvaient donc facilement se connecter sur les comptes de leurs victimes pour en extraire les quelques données personnelles enregistrées, ce qui inclut le nom du compte, l'adresse email associée, l'adresse IP du dernier lieu de connexion, etc.

Il est également question de données plus sensibles comme l'identité des utilisateurs, leur adresse, leur date de naissance, leur numéro de téléphone ainsi que des informations bancaires tronquées (type de carte de paiement, 4 derniers chiffres et date d'expiration). Des données parfaitement suffisantes pour préparer des attaques à base de phishing par la suite. Enfin, les pirates ont également pu obtenir la clé de diffusion de chacun des utilisateurs, ce qui pouvait leur permettre de diffuser des contenus à leur place, sur leur chaîne.

La solution : changer de mot de passe

Pour remédier au problème, Twitch a prévenu ses utilisateurs... 20 jours plus tard (après tout, il vaut mieux tard que jamais...) en lançant une campagne générale de remise à zéro des mots de passe. Lors de leur prochaine connexion, les usagers du service devront donc changer de mot de passe, et la plateforme insiste pour que ses utilisateurs emploient des mots de passe forts, avec des chiffres, des lettres en minuscule et en majuscule, avec si possible des caractères spéciaux.

Si cela peut rendre la tâche plus compliquée pour les pirates en cas d'attaque par force brute, cela ne sera par contre d'aucune aide si la plateforme subit à nouveau le même genre d'attaque qu'en début de mois, laissant fuiter des mots de passe en clair. Dans tous les cas, prendre davantage de précautions côté client ne peut pas être une mauvaise idée. 

L'ensemble des clés de stream ont également été réintialisées, ce qui obligera les streameurs a reparamétrer leurs logiciels de diffusion. Enfin, les liens entre les chaînes Twitch et YouTube ont été révoqués, tout comme ceux avec Twitter, ce afin d'éviter les dommages collatéraux.

60 commentaires
Avatar de Soltek INpactien
Avatar de SoltekSoltek- 24/03/15 à 08:33:49

Ah ouais ok ça date de 3 semaines...

J'ai changé ça cette nuit et j'ai cru que c'était suite au DDoS qu'il y a eu ce week-end mais non.

Avatar de Cara62 Abonné
Avatar de Cara62Cara62- 24/03/15 à 08:35:58

Super....

Avatar de Mimoza Abonné
Avatar de MimozaMimoza- 24/03/15 à 08:38:16

L'attaque a eu lieu il y a 20 jours… depuis combien de temps sont ils au courant ? Combien l'attaque a t elle durée ?
Pas très sérieux comme gestion

Avatar de MoonRa Abonné
Avatar de MoonRaMoonRa- 24/03/15 à 08:39:31

C'est drôle qu'ils nous disent d'utiliser un mot de passe fort alors que c'était eux le problème. Enfin j'ai eu mon petit mail ce matin.

Avatar de Athropos INpactien
Avatar de AthroposAthropos- 24/03/15 à 08:41:49

Ça me conforte une fois de plus dans l'idée d'utiliser une adresse et un mdp spécifique pour chaque service.

Avatar de Amnesiac INpactien
Avatar de AmnesiacAmnesiac- 24/03/15 à 08:44:26

Effectivement, c'est une assez bonne solution (même s'il n'y en a occupe parfaite).

Avatar de Texas Ranger INpactien
Avatar de Texas RangerTexas Ranger- 24/03/15 à 08:44:34

vive passwordSafe et autre Keepass :francais:

Avatar de Aequor INpactien
Avatar de AequorAequor- 24/03/15 à 08:46:42

Si je comprend bien, les mots de passe récupérés ont été interceptés lors de la connexion, puisque ceux stockés étaient chiffrés ? Donc si je ne me suis pas connecté depuis le 3 mars (et bien avant à vrai dire), je suis épargné ?

Avatar de anonyme_69736061fe834a059975aa425bebeb6d INpactien

J'ai reçu un mail de leur part à ce sujet.

Pareil pas co depuis l'année dernière...mais bon je le changerai.

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 24/03/15 à 08:48:53

C'est comme ça que je le comprends aussi.

Bon de toutes façons, un p'tit changement de MdP, ça ne peut pas faire de mal quoi qu'il arrive (merci KeePass).

Par contre, 20 jours pour communiquer (ou pire pour détecter le malware sur leur serveur) -> :cartonrouge:

Il n'est plus possible de commenter cette actualité.
Page 1 / 6