Cette nuit, la plateforme de Streaming Twitch a fait savoir à ses utilisateurs qu'elle a été victime d'un piratage au début du mois de mars. Selon la société, un certain nombre d'utilisateurs ont « peut-être » pu voir leurs mots de passe interceptés, laissant ainsi aux pirates la possibilité d'accéder à certaines données personnelles.
« Nous vous écrivons pour vous faire savoir qu'il y a pu y avoir des accès non-autorisés aux informations de compte de certains utilisateurs de Twitch ». Dans l'annonce publiée sur le blog de Twitch, les mots sont soigneusement pesés, mais cela ne change pas grand-chose aux faits. Les serveurs de la plateforme de vidéo ont été victimes d'une intrusion, qui a pu permettre à des pirates de faire main-basse sur un certain nombre de données personnelles déposées par les utilisateurs.
Un malware bien trop curieux
Dans les mails reçus par les utilisateurs concernés par le vol de données, Twitch explique que l'attaque a eu lieu le 3 mars dernier. Un logiciel malveillant présent sur les serveurs de la plateforme « aurait pu intercepter en clair les informations de connexion (login, mot de passe) des utilisateurs ». La société précise que normalement, les mots de passe sont chiffrés avant d'être stockés.
Par conséquent, les pirates pouvaient donc facilement se connecter sur les comptes de leurs victimes pour en extraire les quelques données personnelles enregistrées, ce qui inclut le nom du compte, l'adresse email associée, l'adresse IP du dernier lieu de connexion, etc.
Il est également question de données plus sensibles comme l'identité des utilisateurs, leur adresse, leur date de naissance, leur numéro de téléphone ainsi que des informations bancaires tronquées (type de carte de paiement, 4 derniers chiffres et date d'expiration). Des données parfaitement suffisantes pour préparer des attaques à base de phishing par la suite. Enfin, les pirates ont également pu obtenir la clé de diffusion de chacun des utilisateurs, ce qui pouvait leur permettre de diffuser des contenus à leur place, sur leur chaîne.
La solution : changer de mot de passe
Pour remédier au problème, Twitch a prévenu ses utilisateurs... 20 jours plus tard (après tout, il vaut mieux tard que jamais...) en lançant une campagne générale de remise à zéro des mots de passe. Lors de leur prochaine connexion, les usagers du service devront donc changer de mot de passe, et la plateforme insiste pour que ses utilisateurs emploient des mots de passe forts, avec des chiffres, des lettres en minuscule et en majuscule, avec si possible des caractères spéciaux.
Si cela peut rendre la tâche plus compliquée pour les pirates en cas d'attaque par force brute, cela ne sera par contre d'aucune aide si la plateforme subit à nouveau le même genre d'attaque qu'en début de mois, laissant fuiter des mots de passe en clair. Dans tous les cas, prendre davantage de précautions côté client ne peut pas être une mauvaise idée.
L'ensemble des clés de stream ont également été réintialisées, ce qui obligera les streameurs a reparamétrer leurs logiciels de diffusion. Enfin, les liens entre les chaînes Twitch et YouTube ont été révoqués, tout comme ceux avec Twitter, ce afin d'éviter les dommages collatéraux.