Un lot de 33 millions d’identifiants, a priori de Twitter, se retrouve depuis peu sur le dark web. L’entreprise nie toute fuite de données de son côté. Il pourrait s’agir d’informations collectées via des malwares chez les utilisateurs. Il est recommandé dans le doute de renforcer la sécurité de son compte.
La série des fuites continue. Après LinkedIn, MySpace, Tumblr et Vkontakte, c’est au tour de Twitter de passer sous le microscope. La fuite présente des similitudes avec les précédentes fuites, notamment sur l’âge des données. On retrouve précisément 32 888 300 enregistrements dans le lot, chacun contenant l’adresse email, le mot de passe et le nom d’utilisateur.
Twitter a déjà réagi en formulant ses doutes : « Nous sommes convaincus que ces noms d’utilisateurs et identifiants n’ont pas été obtenus via une brèche dans Twitter – nos systèmes n’ont pas été percés. En fait, nous avons travaillé à rendre les comptes plus sécurisés en comparant nos données à ce qui a été partagé dans les autres récentes fuites de données ». Des affirmations déjà tenues il y a trois jours sur le compte officiel de l'entreprise.
To help keep people safe and accounts protected, we've been checking our data against what's been shared from recent password leaks.
— Twitter Support (@Support) 6 juin 2016
Probablement une récupération via des malwares
LeakedSource, spécialisé dans ces fuites de données, a déjà récupéré les informations pour les analyser. Le site semble donner raison à Twitter, estimant que ces données sont probablement anciennes et ont été récupérées via des malwares ayant infecté des navigateurs comme Chrome et Firefox. Sur les dix domaines d’email les plus couramment trouvés dans les données, six proviennent de Russie, dont @mail.ru et @yandex.ru. L’analyse des mots de passe révèle une fois de plus l’aspect navrant de leur construction. Le plus utilisé est « 12346 », mais on retrouve les désormais classiques « 12345679 », « qwerty » et « password ».
Toujours selon LeakSource, aucun hachage ni aucun chiffrement n’étaient appliqués sur les mots de passe. Pour le site, il s’agit d’une preuve supplémentaire qu’ils ont été volés auprès des utilisateurs et stockés en clair. Twitter a d’ailleurs indiqué que tous les mots de passe étaient chiffrés avec bcrypt, considéré comme robuste.
We securely store all passwords w/ bcrypt. We are working with @leakedsource to obtain this info & take additional steps to protect users.
— Michael Coates ஃ (@_mwc) 9 juin 2016
Des données pourtant réelles
Mais même si les données sont probablement anciennes et dérobées chez les utilisateurs, elles semblent réelles, au moins pour une partie d'entre elles. LeakedSource indique avoir testé 15 comptes et les mots de passe étant les bons à chaque fois. Twitter a d'ailleurs ajouté être en contact avec le site pour « renforcer la sécurité des comptes utilisateurs ». La société va probablement procéder à la même comparaison qu’avec les fuites précédentes, pour avertir les utilisateurs éventuellement concernés.
Troy Hunt, à qui l’on doit le site « Have I Been Pwnd ? », doute également que Twitter ait été attaqué. « Il pourrait tout à fait s’agir de vieilles fuites si elles ressemblent à celles que nous avons déjà observées et qui n’avaient pas encore vu la lumière du jour. Accessoirement, les prises de contrôle de comptes observées jusqu’à maintenant sont très probablement le résultat de la réutilisation des identifiants à travers les autres fuites de données » a-t-il indiqué à TechCrunch.
On rappellera que c’est l’explication avancée par TeamViewer la semaine dernière pour des problèmes similaires. Hunt souligne par ailleurs un agenda particulièrement serré pour l'ensemble de ces fuites. Il s'agit à chaque fois de millions d'identifiants, toutes les annonces ayant été faites ces dernières semaines.
Mot de passe fort et double authentification
Dans tous les cas, et avant même que Twitter ne prenne des décisions, on peut facilement augmenter la sécurité via deux actions simples. La première, changer son mot de passe en vérifiant bien que le nouveau est fort, avec des majuscules, minuscules, caractères spéciaux et chiffres, et sans utiliser de mots du dictionnaire ni informations trop évidentes (prénoms, date de naissance…).
La seconde est d’activer l’authentification à deux facteurs, qui permet de mieux protéger le compte contre les accès tiers, y compris quand il y a fuite du mot de passe. Pour cela, il suffit de se rendre dans les paramètres de Twitter, dans la section « Sécurité et confidentialité ». Il faut alors cocher la case « Demandes de vérification de connexion », ce qui nécessitera d'inscrire préalablement son numéro de téléphone. Après quoi, toute nouvelle connexion réclamera un code à six chiffres que l'on recevra par SMS, ou une confirmation par l'application mobile officielle.