Suite à un « bug », les mots de passe des utilisateurs de Twitter se sont retrouvés dans les logs internes de la société. Si aucune fuite n'est à déplorer, il est évidemment conseillé de le changer. Le réseau social donne quelques conseils (triviaux) et se veut rassurant.
Deux jours après GitHub, c'est au tour de Twitter d'être victime d'un « bug » concernant le stockage des mots de passe de ses utilisateurs. Cette fois-ci, la société s'est par contre fendue d'un billet de blog pour expliquer le problème. Il faut dire que l'ampleur ne semble pas la même, tous les utilisateurs étant potentiellement concernés.
Des mots de passe enregistrés avant la fin du « hachage »
« Nous avons récemment identifié un bug qui stockait des mots de passe en clair dans nos logs internes. Nous avons corrigé le bug, et notre enquête ne montre aucune indication de violation ou d'abus » explique Parag Agrawal, directeur technique.
Bien évidemment, et comme le précise la CNIL, un mot de passe ne doit jamais être stocké en clair, que ce soit dans les logs ou dans la base de données des utilisateurs. La pratique reste néanmoins courante, comme nous l'avions vu avec le cas du journal Les Échos il y a quelques jours. Vous pouvez d'ailleurs nous signaler des sites concernés via l'adresse :
info@motdepasseenclair.fr
Mais ici, ces recommandations étaient bien respectées. Comme GitHub, les mots de passe passent « à travers un processus appelé hachage en utilisant une fonction bcrypt », avant d'être enregistrés sur les serveurs de Twitter. Problème : « en raison d'un bug, les mots de passe ont été écrits dans les logs avant la fin du processus de hachage ».
Logs nettoyés, réinitialisation recommandée du mot de passe
La société explique avoir identifié elle-même cette faille, mais ne précise pas si elle a lancé une enquête suite à la révélation de GitHub. Les mots de passe concernés ont évidemment été supprimés et des actions mises en place afin d'éviter que ce genre de bug ne se reproduise.
Se pose alors la question de la consultation de ces logs par des employés de l'entreprise, un point qui n'est pas évoqué. Dans le cas de GitHub, seul « un petit nombre de mots de passe d'utilisateurs » était concerné, avec une réinitialisation du mot de passe obligatoire. De son côté, Twitter ne donne aucun chiffre, mais recommande « par précaution » à l'ensemble de ses utilisateurs de changer leur mot de passe, sans les y obliger.
Il reste appréciable que la société communique publiquement sur ce bug, contrairement à GitHub qui s'est contenté d'envoyer des emails aux personnes concernées.
I should not have said we didn’t have to share. I have felt strongly that we should. My mistake. https://t.co/Cqbs1KiUWd
— Parag Agrawal (@paraga) 3 mai 2018
Il est évidemment recommandé de faire de même sur l'ensemble des sites où vous avez utilisé le même mot de passe... ce qui n'est pas une bonne pratique pour rappel. Un mot de passe doit en effet être le plus souvent unique pour éviter qu'en cas de fuite, des pirates puissent accéder à d'autres services avec un effet boule de neige.
Un mot de passe par site, activez la double authentification
Le réseau social termine son billet par des excuses et des recommandations basiques en pareille situation : changer votre mot de passe, en choisir un suffisamment robuste, utiliser un gestionnaire de mot de passe pour vous aider dans cette tâche et enfin activer la double authentification.
Des recommandations qui s'appliquent finalement à l'ensemble des sites où cela est possible. Nous avons d'ailleurs publié un dossier complet sur le sujet :
