Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Piraté, Twitch a laissé filer des mots de passe en clair

C'est du propre

Piraté, Twitch a laissé filer des mots de passe en clair

Le 24 mars 2015 à 08h25

Cette nuit, la plateforme de Streaming Twitch a fait savoir à ses utilisateurs qu'elle a été victime d'un piratage au début du mois de mars. Selon la société, un certain nombre d'utilisateurs ont « peut-être » pu voir leurs mots de passe interceptés, laissant ainsi aux pirates la possibilité d'accéder à certaines données personnelles.

« Nous vous écrivons pour vous faire savoir qu'il y a pu y avoir des accès non-autorisés aux informations de compte de certains utilisateurs de Twitch ». Dans l'annonce publiée sur le blog de Twitch, les mots sont soigneusement pesés, mais cela ne change pas grand-chose aux faits. Les serveurs de la plateforme de vidéo ont été victimes d'une intrusion, qui a pu permettre à des pirates de faire main-basse sur un certain nombre de données personnelles déposées par les utilisateurs. 

Un malware bien trop curieux

Dans les mails reçus par les utilisateurs concernés par le vol de données, Twitch explique que l'attaque a eu lieu le 3 mars dernier. Un logiciel malveillant présent sur les serveurs de la plateforme « aurait pu intercepter en clair les informations de connexion (login, mot de passe) des utilisateurs ». La société précise que normalement, les mots de passe sont chiffrés avant d'être stockés.

Par conséquent, les pirates pouvaient donc facilement se connecter sur les comptes de leurs victimes pour en extraire les quelques données personnelles enregistrées, ce qui inclut le nom du compte, l'adresse email associée, l'adresse IP du dernier lieu de connexion, etc.

Il est également question de données plus sensibles comme l'identité des utilisateurs, leur adresse, leur date de naissance, leur numéro de téléphone ainsi que des informations bancaires tronquées (type de carte de paiement, 4 derniers chiffres et date d'expiration). Des données parfaitement suffisantes pour préparer des attaques à base de phishing par la suite. Enfin, les pirates ont également pu obtenir la clé de diffusion de chacun des utilisateurs, ce qui pouvait leur permettre de diffuser des contenus à leur place, sur leur chaîne.

La solution : changer de mot de passe

Pour remédier au problème, Twitch a prévenu ses utilisateurs... 20 jours plus tard (après tout, il vaut mieux tard que jamais...) en lançant une campagne générale de remise à zéro des mots de passe. Lors de leur prochaine connexion, les usagers du service devront donc changer de mot de passe, et la plateforme insiste pour que ses utilisateurs emploient des mots de passe forts, avec des chiffres, des lettres en minuscule et en majuscule, avec si possible des caractères spéciaux.

Si cela peut rendre la tâche plus compliquée pour les pirates en cas d'attaque par force brute, cela ne sera par contre d'aucune aide si la plateforme subit à nouveau le même genre d'attaque qu'en début de mois, laissant fuiter des mots de passe en clair. Dans tous les cas, prendre davantage de précautions côté client ne peut pas être une mauvaise idée. 

L'ensemble des clés de stream ont également été réintialisées, ce qui obligera les streameurs a reparamétrer leurs logiciels de diffusion. Enfin, les liens entre les chaînes Twitch et YouTube ont été révoqués, tout comme ceux avec Twitter, ce afin d'éviter les dommages collatéraux.

Commentaires (56)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

C’est si efficace que ça les addons de gestion de mot de passe ?

votre avatar

Ouaip’

votre avatar

Merci mon gestionnaire de mot de passe <img data-src=" />

Ca limitera d’autant plus la portée du vol de mot de passe me concernant, &nbsp;n’ayant par ailleurs pas de données personnelles stockées chez eux…



Mais bon, 2nd mauvaise surprise de la part de Twitch …

votre avatar







Charly32 a écrit :



C’est une très bonne pratique, mais ça peut vite devenir lourd. Surtout si ton fournisseur de compte mail ne gère pas les alias. <img data-src=" />





Personnellement j’utilise mon propre nom de domaine pour les alias, qui redirigent vers une « vraie » boîte mail. Gandi m’autorise jusque 1000 alias il me semble, donc largement de quoi faire.


votre avatar



la plateforme insiste pour que ses utilisateurs emploient des mots de passe forts, avec des chiffres, des lettres en minuscule et en majuscule, avec si possible des caractères spéciaux.





Le top de la sécurité de 1994. <img data-src=" />



SuP3r~RoXX0r

votre avatar

Sisi <img data-src=" />

Faut que je me co déjà <img data-src=" />

votre avatar

Comment fonctionne ce genre de solution? Et en cas de changement de pc?

votre avatar







kras a écrit :



Donc ils stockent les mots de passe en clair.

Cool.









lit la news <img data-src=" />


votre avatar







Charly32 a écrit :



C’est une très bonne pratique, mais ça peut vite devenir lourd. Surtout si ton fournisseur de compte mail ne gère pas les alias. <img data-src=" />

Le MDP unique, c’est plus simple à mettre en place : un “salage” avec le nom du site/service permet d’éviter un traitement automatisé en cas de vol.





oui, j’utilise ca aussi, un pass complexe 8 caractere (min/maj/chiffre/special) + un acronyme specifique au service, la premiere partie est toujours la meme.



et au besoin, je met le mois devant ou derriere pour les mdp a changer regulierement



facile a retenir ET efficasse


votre avatar







nikon56 a écrit :



lit la news <img data-src=" />





Don’t feed ;)

&nbsp;





nikon56 a écrit :



oui, j’utilise ca aussi, […]





Le problème étant les sites qui interdisent les caractères spéciaux, comme Orange ou les banques, qui foutent en l’air cette logique :/


votre avatar







nikon56 a écrit :



oui, j’utilise ca aussi, un pass complexe 8 caractere (min/maj/chiffre/special) + un acronyme specifique au service, la premiere partie est toujours la meme.



et au besoin, je met le mois devant ou derriere pour les mdp a changer regulierement



facile a retenir ET efficasse







Parce qu’il y a des min maj ? <img data-src=" />


votre avatar

ca effectivement c’est ultra penible, en general je me tire, et i c’est pas possible, comme pour l’operateur telephone, je les harcele regulierement a ce sujet, pour moi c’est anormal.



ma banque m’a assez entendu la dessus, mais pour le moment c’est partout pareil, donc changer pour ca ne sert a rien…..c’est d’ailleur assez hallucinant que des services bancaires, service sensible s’il en est, soient si peut securent…..ca laisse songeur

votre avatar

<img data-src=" />, et je peut même pas corriger <img data-src=" />

votre avatar

Moi je ne me prend pas la tete pour les sites non sensibles, c’est la meme adresse et le meme mot de passe (je tourne sur 3 mdps en fonction des caractères demandés).

Du coup, mon mdp twitch, c’est celui que j’utilise sur d’autres sites comme ici par exemple (Olala on va me pirater mon compte NXi ! je peux maintenant troller librement, j’ai une escuse).



Y’a que mes boites mails et sites avec cartes enregistrées où j’ai un mdp spécifique et la double authentification (sms principalement)…



Tiens en parlant de mdp, vous pensez que c’est utile de mettre un mot de passe général dans Firefox (pour le gestionnaire de mdp) ? Je fais ça depuis des années, j’avoue que c’est pénible de taper à chaque ouverture du navigateur son long mot de passe, mais je me sens mieux.

votre avatar







Cara62 a écrit :



C’est si efficace que ça les addons de gestion de mot de passe ?







ça marche plutôt bien et c’est parfois intégré avec ton navigateur pour de l’auto complétion.



Bon après c’est comme tout, le logiciel en lui même possède une faille/le master password est trop faible/keylogger etc…



votre avatar

Ah ouais ok ça date de 3 semaines…



J’ai changé ça cette nuit et j’ai cru que c’était suite au DDoS qu’il y a eu ce week-end mais non.

votre avatar

Super….

votre avatar

L’attaque a eu lieu il y a 20 jours… depuis combien de temps sont ils au courant ? Combien l’attaque a t elle durée ?

Pas très sérieux comme gestion

votre avatar

C’est drôle qu’ils nous disent d’utiliser un mot de passe fort alors que c’était eux le problème. Enfin j’ai eu mon petit mail ce matin.

votre avatar

Ça me conforte une fois de plus dans l’idée d’utiliser une adresse et un mdp spécifique pour chaque service.

votre avatar

Effectivement, c’est une assez bonne solution (même s’il n’y en a occupe parfaite).

votre avatar

vive passwordSafe et autre Keepass <img data-src=" />

votre avatar

Si je comprend bien, les mots de passe récupérés ont été interceptés lors de la connexion, puisque ceux stockés étaient chiffrés ? Donc si je ne me suis pas connecté depuis le 3 mars (et bien avant à vrai dire), je suis épargné ?

votre avatar

J’ai reçu un mail de leur part à ce sujet.



Pareil pas co depuis l’année dernière…mais bon je le changerai.

votre avatar

C’est comme ça que je le comprends aussi.



Bon de toutes façons, un p’tit changement de MdP, ça ne peut pas faire de mal quoi qu’il arrive (merci KeePass).



Par contre, 20 jours pour communiquer (ou pire pour détecter le malware sur leur serveur) -&gt; <img data-src=" />

votre avatar

Pour moi maintenant, je me prends plus la tête :




  • Dashlane pour avoir un pass par compte

  • Gandi pour avoir une adresse email par compte x.*@monemail.com



    Pour un email par compte, vous pouvez aussi utiliser l’astuce gmail

    Toute adresse [email protected] possède une infinité d’alias. On peut mettre autant de points qu’on veut et on peut rajouter un “+” avec un alias derrière. Exemples :

  • [email protected]

  • [email protected]

  • [email protected]



    etc.

votre avatar

T’as pas trop le choix de toutes façons, le reset étant général <img data-src=" />

votre avatar

Mot de passe en clair ? C’est les années 90’ cette histoire&nbsp;<img data-src=" />

votre avatar







Athropos a écrit :



Ça me conforte une fois de plus dans l’idée d’utiliser une adresse et un mdp spécifique pour chaque service.





C’est une très bonne pratique, mais ça peut vite devenir lourd. Surtout si ton fournisseur de compte mail ne gère pas les alias. <img data-src=" />

Le MDP unique, c’est plus simple à mettre en place : un “salage” avec le nom du site/service permet d’éviter un traitement automatisé en cas de vol.


votre avatar

<img data-src=" /> Ca explique le chaos d’hier soir

votre avatar

C’est quoi l’utilité d’utiliser un gestionnaire de mot de passe comme KeePass par rapport a un stockage sur un tableur par exemple ?

votre avatar

Sérieux, “stocké en clair”.



Je développe comme un cochon, mal, etc, pour des services pas critiques du tout (pas de stockage email etc).



Mais faire un hashkey et enregistrer en md5 les mots de passes dans la bdd, c’est le minimum. Même un branque comme moi le fait. On devrait pouvoir &nbsp;porter plainte pour négligence dans des cas comme ceux là, sérieux………..

votre avatar







Krieger-Korps a écrit :



C’est quoi l’utilité d’utiliser un gestionnaire de mot de passe comme KeePass par rapport a un stockage sur un tableur par exemple ?





C’est chiffré, donc facile à déplacer d’une machine à une autre. (Genre tu peux stocker le fichier sur dropbox. Si ton compte dropbox se fait cracker c’est pour autant que tes passwords sont dans la nature).

Tu peux avoir des addons pour faire de l’autocompletion.

Ça te génère tout seul des passwords longs et complexes.


votre avatar

Les mots de passes sont stockés dans une base de données chiffrée, qui prend la forme d’un fichier. Tu utilises le logiciel associé (Keepass par exemple, gratuit et open source) pour les ouvrir grâce à un mot de passe.



Le logiciel te permet de générer facilement des mots de passe très forts et de les enregistrer avec des infos comme le nom du service, l’URL, le nom d’utilisateur, etc. Chaque MDP fait ainsi partie d’une “fiche” qui l’identifie (Next INpact, Amazon, mail Gandi, etc.).



J’utilise Keepass 1 depuis un an (la v2 n’a pas d’appli Android compatible), très heureux. Je synchronise le fichier/base de données entre mes portables et mon smartphone grâce à CloudStation, via mon NAS Synology. Mais Dropbox et Google drive marchent aussi, étant donné que le fichier est chiffré, donc inutilisable sans le mot de passe maître.

votre avatar







knos a écrit :



Comment fonctionne ce genre de solution? Et en cas de changement de pc?









Krieger-Korps a écrit :



C’est

quoi l’utilité d’utiliser un gestionnaire de mot de passe comme KeePass

par rapport a un stockage sur un tableur par exemple ?





&nbsp;

&nbsp;Concrètement, ces solutions stockent tes mots de passes dans une base de données chiffré. Si je prends l’exemple de Keepass, il permet au final de ne retenir qu’un seul mot de passe, celui qui permet d’accéder à la base de données. Une fois celle-ci créée et alimentée en URL + login/mdp, un addon pour navigateur fait le lien. Il détecte le site et permet de remplir automatiquement les champs logins/mdp.

&nbsp;

L’utilité est de pouvoir créer des mdps uniques et complexes pour chaque site, sans avoir à les retenir.

Pour le changement de PC, il suffit d’effectuer une sauvegarde de la bdd (fichier .kdbx) sur un support externe par exemple.&nbsp;



&nbsp;Un très bon tutoriel pour les curieux :http://nicolas-vieux.developpez.com/tutoriels/securite/utiliser-configurer-KeePa…


votre avatar







kras a écrit :



Les news de NXI sont trop longues, au lieu de résumer dans les 3 premières lignes ils font un roman, en général du coup on lit le titre et on va directement dans les commentaires pour comprendre rapidement le contenu.







dans ce cas vas sur twitter…..les news trop longues? faut arreter un peut la…… tu veut quoi? un sms de 60 caracteres?


votre avatar

moi c’est fait aussi. Mot de passe de barbare sur 20 caractères avec spéciaux, etc :-)

votre avatar

J’utilise Keepass2Android sur mon téléphone, il gère bien la synchro avec google drive pour ma part, mais fonctionne aussi avec DropBox, OneDrive, FTP, SFTP, fichier local, webdav…

Il prend bien en charge les DB au format v2, et il est Open Source !

votre avatar

OK, merci :) Là je suis rôdé avec Keepass 1, donc je vais laisser comme ça.

votre avatar







gounzor a écrit :



Mais faire un hashkey et enregistrer en md5 les mots de passes dans la bdd, c’est le minimum.





Je précise pour les dév débutants qui passent par là : le md5 n’est pas le minimum, il ne permet plus de cacher quoi que ce soit depuis longtemps.

Même SHA-1 n’est plus aussi utile qu’avant.

Il vaut mieux enregistrer les mots de passe avec SHA-2 ou SHA-3, en utilisant également la technique du “sel” ajouté au mot de passe de l’utilisateur.

Voir par exemple cette réponse sur StackOverflow (en anglais).


votre avatar

Mais ils poutrent niveau sécurité dites donc !

votre avatar

C’est du propre pas de mot se passe en hash+sel gg les gas

votre avatar

Les mots mode passe était crytée dans leur base.

&nbsp;

Je cite :&nbsp;

“”&nbsp;username and associated email address, your password (which was cryptographically protected) ““Les seules mots de passe qui ont pue avoir accès en clair sont ceux envoyée à la création d’un compte ou au changement de mot de passe.

votre avatar

Le plus chiant c’est surtout les sites qui t’empêchent de cop/col ton mdp de 25char généré sur keepass, c’est d’une débilité (bonjour conforama, le site d’un autre age…). Du coup ils veulent que tu mettes un mdp secure mais que tu devra taper “à la main” systématiquement histoire de bien te faire chier et que mme michu finisse avec soleil123….



les caractère spéciaux ca peut se comprendre, ils essaient de se protéger des injections de code sans traiter correctement le problème donc au lieu de faire ca intelligement, ca bloque tout.

votre avatar

Je ne comprends toujours pas pourquoi la plateforme ne prend pas l’initiative de réinitialiser les mots de passe d’elle-même en prenant soin d’avertir ses utilisateurs par mail.



Au moins, dès que l’attaque est détectée, ses effets sont contrés immédiatement. Enfin, personnellement, ça ne me gènerait pas que le service fisse ça pour mon compte.

votre avatar

je le fais pas mais j’avoue que c’est une bien bonne idée qui m’avait échappée !

merci pour le rappel

<img data-src=" />

votre avatar
votre avatar







Depardieu92 a écrit :



Tiens en parlant de mdp, vous pensez que c’est utile de mettre un mot de passe général dans Firefox (pour le gestionnaire de mdp) ? Je fais ça depuis des années, j’avoue que c’est pénible de taper à chaque ouverture du navigateur son long mot de passe, mais je me sens mieux.





Ho que oui !&nbsp; Sans mot de passe maitre, tout logiciel voleur de mot de passe peut se servir dans les mot de passes stockés dans la configuration de ton navigateur, tout simplement en reproduisant le fonction de ton navigateur quand il doit fournir les mot de passe en clair aux sites internet que tu visite <img data-src=" />



Pense que si , pour récupérer tes mdp il n’y a pas d’intervention humaine (saisie d’un mdp) , un autre logiciel peu surement les récupérer sans que tu le voie :)



Ce ne protège pas contre les keylogger ou les RAT mais c’est un bon début


votre avatar

Tout à fait !

Ça fait longtemps que je n’ai plus eu à implémenter une solution de stockage de mot de passe, donc je n’avais plus la meilleure solution en tête.

Merci du lien !

votre avatar

“Réinitialiser les envoyés. Veuillez vérifier votre courrier électronique.”

Ok Twitch !…sinon l’e-mail je le recevrais quand ? Dans 20 jours ?

votre avatar

cette publicite <img data-src=" />

votre avatar

  • 1

votre avatar







knos a écrit :



Comment fonctionne ce genre de solution? Et en cas de changement de pc?





désolé pour le retard, mais comme dit précédemment, oui il suffit de copier le fichier qui contient tout les password.

chiffré bien sûr.



moi je fou ça sur tout les supports possible.


votre avatar

Ok merci je vais me pencher sur cela. Et au pire faut connaitre le mdp de son mail avec “mot de passe oublié”

votre avatar

Si j’ai bien compris la news ils étaient infectés par un malware qui enregistrait les logins+mdp de tous ceux qui se connectaient au service donc non ça n’est pas limité qu’au changement de mdp ou au nouvelles créations de compte.

Du coup ils sont bien marrant avec leurs préconisations de MDP fort vu que dans ce cas là peu importe sa complexité il est chopé au vol <img data-src=" />

votre avatar







Guinnness a écrit :



Si j’ai bien compris la news ils étaient infectés par un malware qui enregistrait les logins+mdp de tous ceux qui se connectaient au service donc non ça n’est pas limité qu’au changement de mdp ou au nouvelles créations de compte.

Du coup ils sont bien marrant avec leurs préconisations de MDP fort vu que dans ce cas là peu importe sa complexité il est chopé au vol <img data-src=" />







aurait pu&nbsp;intercepter en clair les informations de connexion (login, mot de passe) des utilisateurs »



Hum.



Interception en clair… Vu que dans la BDD ils sont “hashés”….Soit c’est le site qui est infecté (du style une backdoor mise dans les fichiers qui lit le mdp transmit forcément en clair&nbsp; au formulaire de login) soit c’est le serveur et dans ce cas c’est peut-être un logiciel qui écoute les flux réseaux au niveau du serveur.. Woo knows?



&nbsp;

&nbsp;


Piraté, Twitch a laissé filer des mots de passe en clair

  • Un malware bien trop curieux

  • La solution : changer de mot de passe

Fermer