Changez votre mot de passe Twitter, il a sans doute été enregistré en clair dans les logs

Changez votre mot de passe Twitter, il a sans doute été enregistré en clair dans les logs

À qui le tour ?

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

04/05/2018 4 minutes
38

Changez votre mot de passe Twitter, il a sans doute été enregistré en clair dans les logs

Suite à un « bug », les mots de passe des utilisateurs de Twitter se sont retrouvés dans les logs internes de la société. Si aucune fuite n'est à déplorer, il est évidemment conseillé de le changer. Le réseau social donne quelques conseils (triviaux) et se veut rassurant.

Deux jours après GitHub, c'est au tour de Twitter d'être victime d'un « bug » concernant le stockage des mots de passe de ses utilisateurs. Cette fois-ci, la société s'est par contre fendue d'un billet de blog pour expliquer le problème. Il faut dire que l'ampleur ne semble pas la même, tous les utilisateurs étant potentiellement concernés.

Des mots de passe enregistrés avant la fin du « hachage »

« Nous avons récemment identifié un bug qui stockait des mots de passe en clair dans nos logs internes. Nous avons corrigé le bug, et notre enquête ne montre aucune indication de violation ou d'abus » explique Parag Agrawal, directeur technique.

Bien évidemment, et comme le précise la CNIL, un mot de passe ne doit jamais être stocké en clair, que ce soit dans les logs ou dans la base de données des utilisateurs. La pratique reste néanmoins courante, comme nous l'avions vu avec le cas du journal Les Échos il y a quelques jours. Vous pouvez d'ailleurs nous signaler des sites concernés via l'adresse :

[email protected]

Mais ici, ces recommandations étaient bien respectées. Comme GitHub, les mots de passe passent « à travers un processus appelé hachage en utilisant une fonction bcrypt », avant d'être enregistrés sur les serveurs de Twitter. Problème : « en raison d'un bug, les mots de passe ont été écrits dans les logs avant la fin du processus de hachage ».

Logs nettoyés, réinitialisation recommandée du mot de passe 

La société explique avoir identifié elle-même cette faille, mais ne précise pas si elle a lancé une enquête suite à la révélation de GitHub. Les mots de passe concernés ont évidemment été supprimés et des actions mises en place afin d'éviter que ce genre de bug ne se reproduise.

Se pose alors la question de la consultation de ces logs par des employés de l'entreprise, un point qui n'est pas évoqué. Dans le cas de GitHub, seul « un petit nombre de mots de passe d'utilisateurs » était concerné, avec une réinitialisation du mot de passe obligatoire. De son côté, Twitter ne donne aucun chiffre, mais recommande « par précaution » à l'ensemble de ses utilisateurs de changer leur mot de passe, sans les y obliger.

Il reste appréciable que la société communique publiquement sur ce bug, contrairement à GitHub qui s'est contenté d'envoyer des emails aux personnes concernées.

Il est évidemment recommandé de faire de même sur l'ensemble des sites où vous avez utilisé le même mot de passe... ce qui n'est pas une bonne pratique pour rappel. Un mot de passe doit en effet être le plus souvent unique pour éviter qu'en cas de fuite, des pirates puissent accéder à d'autres services avec un effet boule de neige.

Un mot de passe par site, activez la double authentification

Le réseau social termine son billet par des excuses et des recommandations basiques en pareille situation : changer votre mot de passe, en choisir un suffisamment robuste, utiliser un gestionnaire de mot de passe pour vous aider dans cette tâche et enfin activer la double authentification.

Des recommandations qui s'appliquent finalement à l'ensemble des sites où cela est possible. Nous avons d'ailleurs publié un dossier complet sur le sujet : 

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des mots de passe enregistrés avant la fin du « hachage »

Logs nettoyés, réinitialisation recommandée du mot de passe 

Un mot de passe par site, activez la double authentification

Commentaires (38)


Après GitHub ils se sont tous dit on va faire un tour dans nos logs voir ce qui s’y passe ?



Ou, on le sait pas encore mais c’est une librairie de logging (ou autre) commune à GH et Twitter qui en serait la cause ? Ce qui ferait que potentiellement des milliers d’autres sites pourraient être touchés ?


Pas cool de Twitter d’être aussi obscur, la gestion du problème est pas digne.

Est-ce  un bug de la dernière version ou carrément une erreur de conception qui vient tout juste d’être identifiée ?



Pourquoi n’ai-je pas encore reçu de mail de leur part ? Est-ce vraiment à la presse de m’apprendre l’info ?


J’ai reçu une notification plein écran en ouvrant l’app iPhone en ce qui me concerne, hier soir.


De mon coté aussi j’ai dessuite vérifié si nos logs ne contenaient pas les mot de passe mais tout est bon chez nous <img data-src=" />.



Pas besoin forcement d’une lib commune mais tu as vite fait d’enregistrer tous les paramètres envoyé en cas de crash ou d’erreur serveur sans penser que tu vas, sans le vouloir, peut être enregistrer les infos de login si le problème était à ce niveau.


Yes, pareil de mon côté. En revanche aucune info sur le pourquoi…

“Ho tiens, le hasard fait que c’est le bon moment pour vous de changer de MdP”&nbsp;<img data-src=" />


Ah si, j’ai reçu exactement la même info que je lis dans cet article : bug de mots de passe en clair en interne mais une enquête a permis de déterminer qu’il n’y a pas eu de fuite. Etrange cette communication à différents niveaux.


Et surtout, est-ce que le Schmilblick gazouille ?


Bon, je n’ai ni compte Facebook, ni compte Twitter…



J’ai pensé à plusieurs reprises m’en ouvrir un, mais là, ça me refroidit, et pas qu’un peu.



Et ça fait plus de vingt ans que l’on dit que la centralisation sur le net, c’est le mal ! Reste-il encore des gens qui en doutent après tout cela ?


“bug”, c’est le nouveau nom de stagiaire ?








Commentaire_supprime a écrit :



Et ça fait plus de vingt ans que l’on dit que la centralisation sur le net, c’est le mal ! Reste-il encore des gens qui en doutent après tout cela ?







Les millions d’abrutits qui s’inscrivent chaque jour. <img data-src=" />



A quand la fin de mdp ?



La multiplication de ceux-ci et la complexification rends impossible a un être humain de se souvenir de tous.

Le système arrive a ses limites.


Et mettez la 2FA


Les hackers n’ont plus besoin d’accéder aux BDD, il suffit de pomper les logs :/








Commentaire_supprime a écrit :



Bon, je n’ai ni compte Facebook, ni compte Twitter…



J’ai pensé à plusieurs reprises m’en ouvrir un, mais là, ça me refroidit, et pas qu’un peu.



Et ça fait plus de vingt ans que l’on dit que la centralisation sur le net, c’est le mal ! Reste-il encore des gens qui en doutent après tout cela ?





Je vois pas trop le rapport avec la centralisation, puisque justement, on peut:




  1. ne pas avoir de compte facebook, ou twitter, ou ni l’un ni l’autre,

  2. avoir des comptes facebook et twitter sans avoir de login/mdp commun, et en faisant attention à ne pas avoir trop d’infos qui se recoupent.



    Après je suis assez d’accord sur le fait que multiplier les comptes est assez lourd (j’ai pas mal de comptes rézos sociaux ou assimilables, parfois par choix, souvent par obligation pro ou loisir). Et que la centralisation simplifie cette lourdeur (par exemple “connectez vous avec Google”) mais multiplie les risques.



    Ce que je trouve de pire c’est l’individualisation forcenée, comme facebook qui demande des comptes persos même pour les développeurs. Tout ça manque de pratiques sécurisées et respectueuses…



Comme quoi le problème n’est pas d’avoir des mots de passe ou pas avec des caractères tordus.



<img data-src=" />


Me concernant j’ai eu :&nbsp;

une notification dans l’appli

une notification en pleine page en arrivant sur leur site

la réception d’un email rattaché au compte


Peut-être apprendre une méthode plutôt qu’une masse de mot de passes sinon ?




« Nous avons récemment identifié un bug qui stockait des mots de

passe en clair dans nos logs internes. Nous avons corrigé le bug, et

notre enquête ne montre aucune indication de violation ou d’abus »



J’ai activé les alertes mail lorsque je me connecte à Twitter et je ne sais pas si c’est lié à cette histoire mais il y a deux jours j’ai eu 3 alertes de connexion en pleine nuit alors que je dormais (entre 1h30 et 2h30), je l’ai remarqué le matin en consultant mes mail. Du coup j’ai comme un gros doute sur leur dernière affirmation :/








wanou2 a écrit :



Me concernant j’ai eu :&nbsp;

une notification dans l’appli

une notification en pleine page en arrivant sur leur site

la réception d’un email rattaché au compte





Sérieux ? J’ai Twitter sur ma tablette, j’utilise le site sur mon ordi et la PWA sur mon smartphone, je n’ai absolument RIEN eu.



Je suis probablement un peu bête mais est-ce que loguer le résultat du hash d’un mot passe à un quelconque intérêt ? Garder la trace que la fonction hash a fonctionné ok mais avoir le hash dans le log je comprends pas …


Le stagiaire qui a fait ca devait s’appeler Jean Michel Fail ! <img data-src=" />


&nbsp; Ce qui est grave c’est que, comme à chaque fois où on colle ça sur le dos d’un prétendu stagiaire, c’est que c’est pas la faute d’un stagiaire…<img data-src=" />



&nbsp;




De son côté, Twitter ne donne aucun chiffre, mais&nbsp;recommande « par précaution »&nbsp;à l’ensemble de ses utilisateurs de changer leur mot de passe, sans les y obliger.





Comment ça, “Twitter recommande” ? Pour vous un billet de blog suffit à communiquer aux millions des utilisateurs ?

Parce que moi je n’ai reçu aucune notif ni e-mail.



Sinon, il n’est pas précisé depuis quand le bug existait. Si c’est 2 jours, ça va, ça peut au final peu d’inscrits, mais si c’est depuis le début, ça déconne vraiment…


Non ce n’est pas la faute d’un stagiaire, mais le cumul d’erreur d’un dev et d’un admin.



GitHub et Twitter utilisent la même library qui malheureusement écrit le mdp (clair+hashé) dans le log avec le niveau INFO, au lieu du niveau DEBUG. Et comme en production on laisse le logger en niveau INFO, le mdp se retrouve dans le fichier log.





(a votre avis: True/False news ? hé… hé…)


C’est à se demander comment c’est possible.

Des mots de passe non-hashé, sans sel ? A mon avis, c’est plutôt dû à une action délibérée, le “bug” n’étant qu’une bonne excuse…


J’ai changé mon mot de passe de password à drowssap



Nickel.








MisterDams a écrit :



Pas cool de Twitter d’être aussi obscur, la gestion du problème est pas digne.

Est-ce&nbsp; un bug de la dernière version ou carrément une erreur de conception qui vient tout juste d’être identifiée ?



Pourquoi n’ai-je pas encore reçu de mail de leur part ? Est-ce vraiment à la presse de m’apprendre l’info ?





Même réponse que tout le monde, j’ai reçu un mail et un gros avertissement en lançant l’application Android.

Dans mon cas, ce n’est pas la presse qui m’a alerté, mais bien Twitter.









127.0.0.1 a écrit :



Non ce n’est pas la faute d’un stagiaire, mais le cumul d’erreur d’un dev et d’un admin.



GitHub et Twitter utilisent la même library qui malheureusement écrit le mdp (clair+hashé) dans le log avec le niveau INFO, au lieu du niveau DEBUG. Et comme en production on laisse le logger en niveau INFO, le mdp se retrouve dans le fichier log.





(a votre avis: True/False news ? hé… hé…)





Source ?



Non. Faire une “public disclosure”… c’est le mal.



Disons que pour avoir la source, il faudrait me payer ruby sur l’ongle.


De mon côté, j’ai pas de compte Twitter ni Github, mais j’ai, pour la première fois, eu une connexion ratée sur mon compte wikipédia. Coïncidence ou quelqu’un qui aurait récupéré des login/mdp et les teste un peu partout ?








Commentaire_supprime a écrit :



…Et ça fait plus de vingt ans que l’on dit que la centralisation sur le net, c’est le mal ! Reste-il encore des gens qui en doutent après tout cela ?





Il y en a encore beaucoup (trop à mon avis) qui pensent que c’est la meilleure chose possible.



Personnellement c’est Dashlane qui m’a prévenue qu’il était grand temps que je change mon mot de passe. Aucun mail de Twitter. Après je me connecte une fois tous les 6 mois, donc ils m’ont peut-être mis dans la case “On verra plus tard” <img data-src=" />


Moi je ne change pas. Changer les mots de passe il n’y a rien de tel pour les oublier.


0000, puis 1111, etc.

C’est facile à retenir ou retrouver et on peut en changer régulièrement… <img data-src=" />



Ou sinon, un gestionnaire de mots de passe, ça permet d’avoir des mots de passe forts et de n’avoir à en retenir qu’un seul. Seul inconvénient c’est qu’il devient un SPOF.


Oui, c’est ce qui m’inquiète… en plus un gestionnaire de mots de passes implique soit risquer de trimballer le gestionnaire de mots de passes avec un smartphone qui peut facilement être volé, soit ne pas pouvoir accéder à une bonne partie de ses comptes en dehors de chez soi !

Bon, je suppose que la solution c’est de chiffrer le smartphone et de ne pas utiliser un système de déverrouillage facile à contourner (mais donc aussi facile à utiliser!) - pas comme le schéma qui peut être retrouvé sans trop de difficulté à partir de la trace des doigts, et pas comme une montre connectée qui a une trop grande portée de déverrouillage!


Ou bien gestionnaire en webapp (Keeweb, par exemple), avec fichier hébergé en ligne (par soi-même ou un commerçant pour les plus confiants). C’est plus ou moins gratuit et plus ou moins confidentiel selon le choix fait.