Piraté, Twitch a laissé filer des mots de passe en clair

Piraté, Twitch a laissé filer des mots de passe en clair

C'est du propre

Avatar de l'auteur
Kevin Hottot

Publié dans

Internet

24/03/2015 3 minutes
60

Piraté, Twitch a laissé filer des mots de passe en clair

Cette nuit, la plateforme de Streaming Twitch a fait savoir à ses utilisateurs qu'elle a été victime d'un piratage au début du mois de mars. Selon la société, un certain nombre d'utilisateurs ont « peut-être » pu voir leurs mots de passe interceptés, laissant ainsi aux pirates la possibilité d'accéder à certaines données personnelles.

« Nous vous écrivons pour vous faire savoir qu'il y a pu y avoir des accès non-autorisés aux informations de compte de certains utilisateurs de Twitch ». Dans l'annonce publiée sur le blog de Twitch, les mots sont soigneusement pesés, mais cela ne change pas grand-chose aux faits. Les serveurs de la plateforme de vidéo ont été victimes d'une intrusion, qui a pu permettre à des pirates de faire main-basse sur un certain nombre de données personnelles déposées par les utilisateurs. 

Un malware bien trop curieux

Dans les mails reçus par les utilisateurs concernés par le vol de données, Twitch explique que l'attaque a eu lieu le 3 mars dernier. Un logiciel malveillant présent sur les serveurs de la plateforme « aurait pu intercepter en clair les informations de connexion (login, mot de passe) des utilisateurs ». La société précise que normalement, les mots de passe sont chiffrés avant d'être stockés.

Par conséquent, les pirates pouvaient donc facilement se connecter sur les comptes de leurs victimes pour en extraire les quelques données personnelles enregistrées, ce qui inclut le nom du compte, l'adresse email associée, l'adresse IP du dernier lieu de connexion, etc.

Il est également question de données plus sensibles comme l'identité des utilisateurs, leur adresse, leur date de naissance, leur numéro de téléphone ainsi que des informations bancaires tronquées (type de carte de paiement, 4 derniers chiffres et date d'expiration). Des données parfaitement suffisantes pour préparer des attaques à base de phishing par la suite. Enfin, les pirates ont également pu obtenir la clé de diffusion de chacun des utilisateurs, ce qui pouvait leur permettre de diffuser des contenus à leur place, sur leur chaîne.

La solution : changer de mot de passe

Pour remédier au problème, Twitch a prévenu ses utilisateurs... 20 jours plus tard (après tout, il vaut mieux tard que jamais...) en lançant une campagne générale de remise à zéro des mots de passe. Lors de leur prochaine connexion, les usagers du service devront donc changer de mot de passe, et la plateforme insiste pour que ses utilisateurs emploient des mots de passe forts, avec des chiffres, des lettres en minuscule et en majuscule, avec si possible des caractères spéciaux.

Si cela peut rendre la tâche plus compliquée pour les pirates en cas d'attaque par force brute, cela ne sera par contre d'aucune aide si la plateforme subit à nouveau le même genre d'attaque qu'en début de mois, laissant fuiter des mots de passe en clair. Dans tous les cas, prendre davantage de précautions côté client ne peut pas être une mauvaise idée. 

L'ensemble des clés de stream ont également été réintialisées, ce qui obligera les streameurs a reparamétrer leurs logiciels de diffusion. Enfin, les liens entre les chaînes Twitch et YouTube ont été révoqués, tout comme ceux avec Twitter, ce afin d'éviter les dommages collatéraux.

Écrit par Kevin Hottot

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un malware bien trop curieux

La solution : changer de mot de passe

Commentaires (60)


Ah ouais ok ça date de 3 semaines…



J’ai changé ça cette nuit et j’ai cru que c’était suite au DDoS qu’il y a eu ce week-end mais non.


Super….


L’attaque a eu lieu il y a 20 jours… depuis combien de temps sont ils au courant ? Combien l’attaque a t elle durée ?

Pas très sérieux comme gestion


C’est drôle qu’ils nous disent d’utiliser un mot de passe fort alors que c’était eux le problème. Enfin j’ai eu mon petit mail ce matin.


Ça me conforte une fois de plus dans l’idée d’utiliser une adresse et un mdp spécifique pour chaque service.


Effectivement, c’est une assez bonne solution (même s’il n’y en a occupe parfaite).


vive passwordSafe et autre Keepass <img data-src=" />


Si je comprend bien, les mots de passe récupérés ont été interceptés lors de la connexion, puisque ceux stockés étaient chiffrés ? Donc si je ne me suis pas connecté depuis le 3 mars (et bien avant à vrai dire), je suis épargné ?


J’ai reçu un mail de leur part à ce sujet.



Pareil pas co depuis l’année dernière…mais bon je le changerai.


C’est comme ça que je le comprends aussi.



Bon de toutes façons, un p’tit changement de MdP, ça ne peut pas faire de mal quoi qu’il arrive (merci KeePass).



Par contre, 20 jours pour communiquer (ou pire pour détecter le malware sur leur serveur) -&gt; <img data-src=" />


Pour moi maintenant, je me prends plus la tête :




  • Dashlane pour avoir un pass par compte

  • Gandi pour avoir une adresse email par compte x.*@monemail.com



    Pour un email par compte, vous pouvez aussi utiliser l’astuce gmail

    Toute adresse [email protected] possède une infinité d’alias. On peut mettre autant de points qu’on veut et on peut rajouter un “+” avec un alias derrière. Exemples :

  • [email protected]

  • [email protected]

  • [email protected]



    etc.


T’as pas trop le choix de toutes façons, le reset étant général <img data-src=" />


Mot de passe en clair ? C’est les années 90’ cette histoire&nbsp;<img data-src=" />








Athropos a écrit :



Ça me conforte une fois de plus dans l’idée d’utiliser une adresse et un mdp spécifique pour chaque service.





C’est une très bonne pratique, mais ça peut vite devenir lourd. Surtout si ton fournisseur de compte mail ne gère pas les alias. <img data-src=" />

Le MDP unique, c’est plus simple à mettre en place : un “salage” avec le nom du site/service permet d’éviter un traitement automatisé en cas de vol.



C’est si efficace que ça les addons de gestion de mot de passe ?


Ouaip’


Merci mon gestionnaire de mot de passe <img data-src=" />

Ca limitera d’autant plus la portée du vol de mot de passe me concernant, &nbsp;n’ayant par ailleurs pas de données personnelles stockées chez eux…



Mais bon, 2nd mauvaise surprise de la part de Twitch …








Charly32 a écrit :



C’est une très bonne pratique, mais ça peut vite devenir lourd. Surtout si ton fournisseur de compte mail ne gère pas les alias. <img data-src=" />





Personnellement j’utilise mon propre nom de domaine pour les alias, qui redirigent vers une « vraie » boîte mail. Gandi m’autorise jusque 1000 alias il me semble, donc largement de quoi faire.





la plateforme insiste pour que ses utilisateurs emploient des mots de passe forts, avec des chiffres, des lettres en minuscule et en majuscule, avec si possible des caractères spéciaux.





Le top de la sécurité de 1994. <img data-src=" />



SuP3r~RoXX0r


Sisi <img data-src=" />

Faut que je me co déjà <img data-src=" />


Comment fonctionne ce genre de solution? Et en cas de changement de pc?








kras a écrit :



Donc ils stockent les mots de passe en clair.

Cool.









lit la news <img data-src=" />









Charly32 a écrit :



C’est une très bonne pratique, mais ça peut vite devenir lourd. Surtout si ton fournisseur de compte mail ne gère pas les alias. <img data-src=" />

Le MDP unique, c’est plus simple à mettre en place : un “salage” avec le nom du site/service permet d’éviter un traitement automatisé en cas de vol.





oui, j’utilise ca aussi, un pass complexe 8 caractere (min/maj/chiffre/special) + un acronyme specifique au service, la premiere partie est toujours la meme.



et au besoin, je met le mois devant ou derriere pour les mdp a changer regulierement



facile a retenir ET efficasse









nikon56 a écrit :



lit la news <img data-src=" />





Don’t feed ;)

&nbsp;





nikon56 a écrit :



oui, j’utilise ca aussi, […]





Le problème étant les sites qui interdisent les caractères spéciaux, comme Orange ou les banques, qui foutent en l’air cette logique :/









nikon56 a écrit :



oui, j’utilise ca aussi, un pass complexe 8 caractere (min/maj/chiffre/special) + un acronyme specifique au service, la premiere partie est toujours la meme.



et au besoin, je met le mois devant ou derriere pour les mdp a changer regulierement



facile a retenir ET efficasse







Parce qu’il y a des min maj ? <img data-src=" />



ca effectivement c’est ultra penible, en general je me tire, et i c’est pas possible, comme pour l’operateur telephone, je les harcele regulierement a ce sujet, pour moi c’est anormal.



ma banque m’a assez entendu la dessus, mais pour le moment c’est partout pareil, donc changer pour ca ne sert a rien…..c’est d’ailleur assez hallucinant que des services bancaires, service sensible s’il en est, soient si peut securent…..ca laisse songeur


<img data-src=" />, et je peut même pas corriger <img data-src=" />


Moi je ne me prend pas la tete pour les sites non sensibles, c’est la meme adresse et le meme mot de passe (je tourne sur 3 mdps en fonction des caractères demandés).

Du coup, mon mdp twitch, c’est celui que j’utilise sur d’autres sites comme ici par exemple (Olala on va me pirater mon compte NXi ! je peux maintenant troller librement, j’ai une escuse).



Y’a que mes boites mails et sites avec cartes enregistrées où j’ai un mdp spécifique et la double authentification (sms principalement)…



Tiens en parlant de mdp, vous pensez que c’est utile de mettre un mot de passe général dans Firefox (pour le gestionnaire de mdp) ? Je fais ça depuis des années, j’avoue que c’est pénible de taper à chaque ouverture du navigateur son long mot de passe, mais je me sens mieux.








Cara62 a écrit :



C’est si efficace que ça les addons de gestion de mot de passe ?







ça marche plutôt bien et c’est parfois intégré avec ton navigateur pour de l’auto complétion.



Bon après c’est comme tout, le logiciel en lui même possède une faille/le master password est trop faible/keylogger etc…




<img data-src=" /> Ca explique le chaos d’hier soir


C’est quoi l’utilité d’utiliser un gestionnaire de mot de passe comme KeePass par rapport a un stockage sur un tableur par exemple ?


Sérieux, “stocké en clair”.



Je développe comme un cochon, mal, etc, pour des services pas critiques du tout (pas de stockage email etc).



Mais faire un hashkey et enregistrer en md5 les mots de passes dans la bdd, c’est le minimum. Même un branque comme moi le fait. On devrait pouvoir &nbsp;porter plainte pour négligence dans des cas comme ceux là, sérieux………..








Krieger-Korps a écrit :



C’est quoi l’utilité d’utiliser un gestionnaire de mot de passe comme KeePass par rapport a un stockage sur un tableur par exemple ?





C’est chiffré, donc facile à déplacer d’une machine à une autre. (Genre tu peux stocker le fichier sur dropbox. Si ton compte dropbox se fait cracker c’est pour autant que tes passwords sont dans la nature).

Tu peux avoir des addons pour faire de l’autocompletion.

Ça te génère tout seul des passwords longs et complexes.



Les mots de passes sont stockés dans une base de données chiffrée, qui prend la forme d’un fichier. Tu utilises le logiciel associé (Keepass par exemple, gratuit et open source) pour les ouvrir grâce à un mot de passe.



Le logiciel te permet de générer facilement des mots de passe très forts et de les enregistrer avec des infos comme le nom du service, l’URL, le nom d’utilisateur, etc. Chaque MDP fait ainsi partie d’une “fiche” qui l’identifie (Next INpact, Amazon, mail Gandi, etc.).



J’utilise Keepass 1 depuis un an (la v2 n’a pas d’appli Android compatible), très heureux. Je synchronise le fichier/base de données entre mes portables et mon smartphone grâce à CloudStation, via mon NAS Synology. Mais Dropbox et Google drive marchent aussi, étant donné que le fichier est chiffré, donc inutilisable sans le mot de passe maître.








knos a écrit :



Comment fonctionne ce genre de solution? Et en cas de changement de pc?









Krieger-Korps a écrit :



C’est

quoi l’utilité d’utiliser un gestionnaire de mot de passe comme KeePass

par rapport a un stockage sur un tableur par exemple ?





&nbsp;

&nbsp;Concrètement, ces solutions stockent tes mots de passes dans une base de données chiffré. Si je prends l’exemple de Keepass, il permet au final de ne retenir qu’un seul mot de passe, celui qui permet d’accéder à la base de données. Une fois celle-ci créée et alimentée en URL + login/mdp, un addon pour navigateur fait le lien. Il détecte le site et permet de remplir automatiquement les champs logins/mdp.

&nbsp;

L’utilité est de pouvoir créer des mdps uniques et complexes pour chaque site, sans avoir à les retenir.

Pour le changement de PC, il suffit d’effectuer une sauvegarde de la bdd (fichier .kdbx) sur un support externe par exemple.&nbsp;



&nbsp;Un très bon tutoriel pour les curieux :http://nicolas-vieux.developpez.com/tutoriels/securite/utiliser-configurer-KeePa…









kras a écrit :



Les news de NXI sont trop longues, au lieu de résumer dans les 3 premières lignes ils font un roman, en général du coup on lit le titre et on va directement dans les commentaires pour comprendre rapidement le contenu.







dans ce cas vas sur twitter…..les news trop longues? faut arreter un peut la…… tu veut quoi? un sms de 60 caracteres?



moi c’est fait aussi. Mot de passe de barbare sur 20 caractères avec spéciaux, etc :-)


J’utilise Keepass2Android sur mon téléphone, il gère bien la synchro avec google drive pour ma part, mais fonctionne aussi avec DropBox, OneDrive, FTP, SFTP, fichier local, webdav…

Il prend bien en charge les DB au format v2, et il est Open Source !


OK, merci :) Là je suis rôdé avec Keepass 1, donc je vais laisser comme ça.








gounzor a écrit :



Mais faire un hashkey et enregistrer en md5 les mots de passes dans la bdd, c’est le minimum.





Je précise pour les dév débutants qui passent par là : le md5 n’est pas le minimum, il ne permet plus de cacher quoi que ce soit depuis longtemps.

Même SHA-1 n’est plus aussi utile qu’avant.

Il vaut mieux enregistrer les mots de passe avec SHA-2 ou SHA-3, en utilisant également la technique du “sel” ajouté au mot de passe de l’utilisateur.

Voir par exemple cette réponse sur StackOverflow (en anglais).



Mais ils poutrent niveau sécurité dites donc !


C’est du propre pas de mot se passe en hash+sel gg les gas


Les mots mode passe était crytée dans leur base.

&nbsp;

Je cite :&nbsp;

“”&nbsp;username and associated email address, your password (which was cryptographically protected) ““Les seules mots de passe qui ont pue avoir accès en clair sont ceux envoyée à la création d’un compte ou au changement de mot de passe.


Le plus chiant c’est surtout les sites qui t’empêchent de cop/col ton mdp de 25char généré sur keepass, c’est d’une débilité (bonjour conforama, le site d’un autre age…). Du coup ils veulent que tu mettes un mdp secure mais que tu devra taper “à la main” systématiquement histoire de bien te faire chier et que mme michu finisse avec soleil123….



les caractère spéciaux ca peut se comprendre, ils essaient de se protéger des injections de code sans traiter correctement le problème donc au lieu de faire ca intelligement, ca bloque tout.


Je ne comprends toujours pas pourquoi la plateforme ne prend pas l’initiative de réinitialiser les mots de passe d’elle-même en prenant soin d’avertir ses utilisateurs par mail.



Au moins, dès que l’attaque est détectée, ses effets sont contrés immédiatement. Enfin, personnellement, ça ne me gènerait pas que le service fisse ça pour mon compte.


je le fais pas mais j’avoue que c’est une bien bonne idée qui m’avait échappée !

merci pour le rappel

<img data-src=" />








Depardieu92 a écrit :



Tiens en parlant de mdp, vous pensez que c’est utile de mettre un mot de passe général dans Firefox (pour le gestionnaire de mdp) ? Je fais ça depuis des années, j’avoue que c’est pénible de taper à chaque ouverture du navigateur son long mot de passe, mais je me sens mieux.





Ho que oui !&nbsp; Sans mot de passe maitre, tout logiciel voleur de mot de passe peut se servir dans les mot de passes stockés dans la configuration de ton navigateur, tout simplement en reproduisant le fonction de ton navigateur quand il doit fournir les mot de passe en clair aux sites internet que tu visite <img data-src=" />



Pense que si , pour récupérer tes mdp il n’y a pas d’intervention humaine (saisie d’un mdp) , un autre logiciel peu surement les récupérer sans que tu le voie :)



Ce ne protège pas contre les keylogger ou les RAT mais c’est un bon début



Tout à fait !

Ça fait longtemps que je n’ai plus eu à implémenter une solution de stockage de mot de passe, donc je n’avais plus la meilleure solution en tête.

Merci du lien !


“Réinitialiser les envoyés. Veuillez vérifier votre courrier électronique.”

Ok Twitch !…sinon l’e-mail je le recevrais quand ? Dans 20 jours ?


cette publicite <img data-src=" />



  • 1








knos a écrit :



Comment fonctionne ce genre de solution? Et en cas de changement de pc?





désolé pour le retard, mais comme dit précédemment, oui il suffit de copier le fichier qui contient tout les password.

chiffré bien sûr.



moi je fou ça sur tout les supports possible.



Ok merci je vais me pencher sur cela. Et au pire faut connaitre le mdp de son mail avec “mot de passe oublié”


Si j’ai bien compris la news ils étaient infectés par un malware qui enregistrait les logins+mdp de tous ceux qui se connectaient au service donc non ça n’est pas limité qu’au changement de mdp ou au nouvelles créations de compte.

Du coup ils sont bien marrant avec leurs préconisations de MDP fort vu que dans ce cas là peu importe sa complexité il est chopé au vol <img data-src=" />








Guinnness a écrit :



Si j’ai bien compris la news ils étaient infectés par un malware qui enregistrait les logins+mdp de tous ceux qui se connectaient au service donc non ça n’est pas limité qu’au changement de mdp ou au nouvelles créations de compte.

Du coup ils sont bien marrant avec leurs préconisations de MDP fort vu que dans ce cas là peu importe sa complexité il est chopé au vol <img data-src=" />







aurait pu&nbsp;intercepter en clair les informations de connexion (login, mot de passe) des utilisateurs »



Hum.



Interception en clair… Vu que dans la BDD ils sont “hashés”….Soit c’est le site qui est infecté (du style une backdoor mise dans les fichiers qui lit le mdp transmit forcément en clair&nbsp; au formulaire de login) soit c’est le serveur et dans ce cas c’est peut-être un logiciel qui écoute les flux réseaux au niveau du serveur.. Woo knows?



&nbsp;

&nbsp;