Un lot de 33 millions d’identifiants, a priori de Twitter, se retrouve depuis peu sur le dark web. L’entreprise nie toute fuite de données de son côté. Il pourrait s’agir d’informations collectées via des malwares chez les utilisateurs. Il est recommandé dans le doute de renforcer la sécurité de son compte.
La série des fuites continue. Après LinkedIn, MySpace, Tumblr et Vkontakte, c’est au tour de Twitter de passer sous le microscope. La fuite présente des similitudes avec les précédentes fuites, notamment sur l’âge des données. On retrouve précisément 32 888 300 enregistrements dans le lot, chacun contenant l’adresse email, le mot de passe et le nom d’utilisateur.
Twitter a déjà réagi en formulant ses doutes : « Nous sommes convaincus que ces noms d’utilisateurs et identifiants n’ont pas été obtenus via une brèche dans Twitter – nos systèmes n’ont pas été percés. En fait, nous avons travaillé à rendre les comptes plus sécurisés en comparant nos données à ce qui a été partagé dans les autres récentes fuites de données ». Des affirmations déjà tenues il y a trois jours sur le compte officiel de l'entreprise.
To help keep people safe and accounts protected, we've been checking our data against what's been shared from recent password leaks.
— Twitter Support (@Support) 6 juin 2016
Probablement une récupération via des malwares
LeakedSource, spécialisé dans ces fuites de données, a déjà récupéré les informations pour les analyser. Le site semble donner raison à Twitter, estimant que ces données sont probablement anciennes et ont été récupérées via des malwares ayant infecté des navigateurs comme Chrome et Firefox. Sur les dix domaines d’email les plus couramment trouvés dans les données, six proviennent de Russie, dont @mail.ru et @yandex.ru. L’analyse des mots de passe révèle une fois de plus l’aspect navrant de leur construction. Le plus utilisé est « 12346 », mais on retrouve les désormais classiques « 12345679 », « qwerty » et « password ».
Toujours selon LeakSource, aucun hachage ni aucun chiffrement n’étaient appliqués sur les mots de passe. Pour le site, il s’agit d’une preuve supplémentaire qu’ils ont été volés auprès des utilisateurs et stockés en clair. Twitter a d’ailleurs indiqué que tous les mots de passe étaient chiffrés avec bcrypt, considéré comme robuste.
We securely store all passwords w/ bcrypt. We are working with @leakedsource to obtain this info & take additional steps to protect users.
— Michael Coates ஃ (@_mwc) 9 juin 2016
Des données pourtant réelles
Mais même si les données sont probablement anciennes et dérobées chez les utilisateurs, elles semblent réelles, au moins pour une partie d'entre elles. LeakedSource indique avoir testé 15 comptes et les mots de passe étant les bons à chaque fois. Twitter a d'ailleurs ajouté être en contact avec le site pour « renforcer la sécurité des comptes utilisateurs ». La société va probablement procéder à la même comparaison qu’avec les fuites précédentes, pour avertir les utilisateurs éventuellement concernés.
Troy Hunt, à qui l’on doit le site « Have I Been Pwnd ? », doute également que Twitter ait été attaqué. « Il pourrait tout à fait s’agir de vieilles fuites si elles ressemblent à celles que nous avons déjà observées et qui n’avaient pas encore vu la lumière du jour. Accessoirement, les prises de contrôle de comptes observées jusqu’à maintenant sont très probablement le résultat de la réutilisation des identifiants à travers les autres fuites de données » a-t-il indiqué à TechCrunch.
On rappellera que c’est l’explication avancée par TeamViewer la semaine dernière pour des problèmes similaires. Hunt souligne par ailleurs un agenda particulièrement serré pour l'ensemble de ces fuites. Il s'agit à chaque fois de millions d'identifiants, toutes les annonces ayant été faites ces dernières semaines.
Mot de passe fort et double authentification
Dans tous les cas, et avant même que Twitter ne prenne des décisions, on peut facilement augmenter la sécurité via deux actions simples. La première, changer son mot de passe en vérifiant bien que le nouveau est fort, avec des majuscules, minuscules, caractères spéciaux et chiffres, et sans utiliser de mots du dictionnaire ni informations trop évidentes (prénoms, date de naissance…).
La seconde est d’activer l’authentification à deux facteurs, qui permet de mieux protéger le compte contre les accès tiers, y compris quand il y a fuite du mot de passe. Pour cela, il suffit de se rendre dans les paramètres de Twitter, dans la section « Sécurité et confidentialité ». Il faut alors cocher la case « Demandes de vérification de connexion », ce qui nécessitera d'inscrire préalablement son numéro de téléphone. Après quoi, toute nouvelle connexion réclamera un code à six chiffres que l'on recevra par SMS, ou une confirmation par l'application mobile officielle.
Commentaires (26)
#1
Marrant la dernière fois où j’ai voulu activer la double auth (il n’y a pas longtemps) ça n’était toujours pas dispo.
Ce matin au lancement de l’appli elle m’a proposé de l’activer. Coïncidence ? " />
#2
#3
#4
#5
sauf que twitter n’y peut rien si ses clients sont des abrutis qui laissent des malware sur leur postes.
#6
#7
Ce qui est étonnant, c’est le nombre d’utilisateur dans le leak par rapport au nombre d’utilisateur de twitter.
33 millions de comptes, c’est moins d’un compte sur 10, si une brèche avait permit l’accès complet à la base de données de twitter, normalement l’ensemble des comptes auraient été récupéré, et pas seulement un sur 10. A moins que les données soient séparé en plusieurs bases, mais dans ce cas twitter aurait pu voir quelle base avait fuitée.
Mais d’un autre coté, 33 millions de compte, c’est 40 fois plus que le plus gros botnet connu, donc ça parait impossible que ces mots de passe aient réellement été récupéré coté client.
#8
J’attends la planche xkcd " />
#9
Oui, et en plus de ça le malware peut éventuellement, permettre au hacker de se connecter à twitter par le PC de l’utilisateur, donc sans déclencher la double authentification.
#10
il faut remettre une couche sur la sécurité pour éviter les fuites…
… avec les petits élastiques sur le coté.
#11
c’est peut être pour ça que j’ai reçu un mail de la part de twitter me notifiant que qq1 a tenté de se connecter à mon compte d’un endroit inhabituel (du coup ça te pose une question personnelle), j’ai changé mon mdp
j’ai aussi activé la 2auth, dans la semaine j’ai reçu un sms de connection, lol, il a encore essayé, mais cette fois il l’a eu dans l’os… " />
#12
Je n’arriverais jamais à comprendre quel est l’intérêt pour un site Internet de nier une attaque qui a eu pour conséquence une fuite de donnée, qui peuvent avoir de fâcheuses conséquences pour plusieurs utilisateurs. Tout ce que peut gagner un site Internet en réagissant de la sorte, c’est de ternir son image.
Cependant, si Twitter dit vrai (que les comptes de certains utilisateurs se sont retrouvés sur le Net via des programmes malveillants qu’ont exécuté ces utilisateurs), il n’y a rien à reprocher à Twitter.
#13
Oui parce que les gens qui ont des malware sur leur postes sont forcement des abrutis… J’espère que t’es un expert dans tous les domaines de la vie de tous les jours.
#14
tu espères bien! " />
#15
Oui, sauf s’ils n’ont pas eu le temps de tout récupérer.
Mais bon, là visiblement ce n’est pas la faute de Twitter (si ce n’est pour autoriser l’identification par mail/n° de téléphone)
#16
Bah comme je disais, je suis mitigé (sur le fait que ce soit pas de la faute de Twitter). 33 millions de comptes volé par des PC infectés, réunis en une seule liste, c’est pas si crédible que ça, et c’est la seule explication de Twitter.
#17
Ils peuvent nier, les id sont déjà en vente haha.
#18
J’ai voulu récemment créer un compte, pour voir. A peine créé (juste après le choix du nom affiché), compte bloqué. Boum, comme ça. J’ai retenté un création de compte (du boulot, pour changer d’ip), idem. Je serai bien curieux de savoir ce qui a provoqué ce blocage (j’ai juste eu le temps d’indiquer un e-mail, c’est un gmail en plus, pas un compte qui doit les effrayer).
La seule solution que Twitter me propose pour les débloquer, c’est de renseigner mon numéro de téléphone. C’est la seule façon qu’ils ont pour que les gens le donnent ? Ils n’ont pas trouvé plus soft que le flingue sur la tempe ?
Résultat, je me retrouve avec 2 comptes bloqués et inutilisables, et je suis bien spammé avec leurs recommandations de suivre Kev Adams et Gad Elmaleh " /> Et sans accès au compte, impossible de désactiver les notifications, forcément.
Bref, ça s’est fini avec un classement en spam de tous les mails venant du domaine, et je passe à autre chose. Twitter ce n’est visiblement pas pour moi, si leur fournir mon numéro est un passage obligatoire. Perso mon mot de passe n’est pas 123456 ou azerty, donc pas question que je le leur refile.
#19
Idem, j’avais un compte, tout fonctionnait, j’ai joué avec un VPN et boom compte bloqué. 5 semaines sans réponse du service client et on m’impose de donner mon numéro de téléphone. J’ai indiqué que par principe je donnerai pas mon numéro et que je voulais bien une autre solution pour le débloquer… Silence radio…
En même temps, vu ce que je “tweet”, pas bien grave s’il faut que je recréée un compte prochainement " />
#20
Moi je ne suis pas derrière un VPN. Et je n’ai encore rien tweeté, ce n’est pas un comportement contraires au CGU. Bref je reste dubitatif.
#21
C’est aussi ce que j’ai dit dans mon mail au support à propos des règles que je n’enfreignais pas… Ils ont pensé que mon compte avait une activité suspecte et pouvait avoir été l’objet d’un méchant hacker " />
#22
Oui il y a eu vol, mais twitter précise que c’est pas à cause d’une faille informatique de leur coté. Chose importante à souligner ^^. Surtout avec tous les mots de passe circulant en ce moment venant de site populaire
#23
ou alors mon adresse mail est testée. je ne sais pas si le mail d’avertissement t’es envoyé meme si le mdp n’est pas bon (ça reste une tentative de connection)
#24
Un société X a une fuite de données, et ce que vous recommandé, c’est de donner encore plus de données a cette société, super malin.
#25
J’ai la certitude absolue depuis plusieurs années qu’il existe une vulnérabilité exploitée chez Twitter. Je bosse dans la sécurité informatique, je maîtrise assez bien le sujet dirons-nous, mes mots de passes sont tous uniques et très robustes (aléatoires et complexes). La manière dont je les stocke et les utilise est conforme à l’état de l’art en matière de sécurité (si tant est qu’il y ait une solution universelle), qu’importe, c’est propre.
Il y a deux ans environ, un message (spam) a été posté sur mon compte Twitter alors qu’il était physiquement impossible que le pirate en question ait volé le mot de passe côté client (chez moi ou mon navigateur).
Suite à cette mésaventure (la seule fois où un de mes comptes en ligne a été usurpé d’ailleurs), j’ai fermé mon compte Twitter, considérant qu’ils étaient très mauvais pour garantir la confidentialité des données que je leur confiais alors. Ils ne communiquent jamais sur d’éventuelles brêches alors qu’il y a de forts soupçons qui pèsent sur eux de la part de membres de la communauté SSI depuis longtemps.
Pas sérieux pour l’un des plus gros réseaux sociaux du monde.