Hier, plusieurs internautes ont évoqué la publication d'une archive contenant le code source de la plateforme de streaming, mais aussi des documents internes sur un futur Steam maison (projet Vapour) ou les revenus des membres. Certains ont d'ailleurs confirmé les montants, qui peuvent atteindre plusieurs millions de dollars sur les deux dernières années. L'épluchage et les premières analyses sociologiques commencent donc.
L'attaque a été revendiquée sur 4chan, même s'il est pour le moment difficile de s'assurer de l'origine de cette fuite. Twitch a d'ailleurs réagi assez mollement. « Nous pouvons confirmer qu'une violation a eu lieu. Nos équipes travaillent activement pour comprendre l'ampleur de la situation. Nous vous tiendrons informés dès que nous aurons des informations supplémentaires. Merci pour votre compréhension », a-t-elle indiqué hier en fin d'après-midi. Un billet de blog sera maintenu à jour.
Espérons qu'elle en dira plus rapidement, pour que l'on puisse connaître l'ampleur réelle des dégâts. Bien que cela n'ait pas été constaté dans l'archive ou confirmé par Twitch, certains évoquent par exemple la fuite d'empreintes de mots de passe, incitant les utilisateurs à en changer, ce qui cause des retards dans la réception des SMS de confirmation.
On ne peut dans tous les cas que vous inciter à renforcer la sécurité de votre compte Twitch, comme ceux des différentes plateformes que vous utilisez, notamment avec de l'authentification à plusieurs facteurs ou une clé de sécurité par exemple.
Commentaires (35)
#1
C’est sans précédent cette fuite. Il semblerait que toute la propriété intellectuelle de Twitch ait été diffusée.
#2
J’ai dû changer mon mot de passe Twitch, prendre un abonnement chez Dashlane, et passer 2h à changer tous mes mots de passe, merci Amazon.
#2.1
En quoi la fuite de données Twitch t’as forcé à prendre un abonnement Dashlane et à changer d’autres mots de passe que celui-là ?
#2.2
J’avais un mot de passe complexe de 20 caractère que j’utilisais sur plusieurs sites important.
#2.3
C’est une très mauvaise pratique, encore plus sur des sites importants. Donc il ne faut pas blâmer une plateforme si ça te pose problème ensuite, c’est à toi de faire attention à ça (surtout que sécuriser parfaitement un système est impossible donc difficile de le reprocher comme ça à un acteur privé).
Au moins maintenant tu n’auras plus ce problème ^^
#2.4
Ah mais je sais que c’est une très mauvaise pratique.
Je n’ai jamais dis le contraire, n’empêche que s’il n’y avait pas eu la fuite Twitch, je n’aurai pas eu à changer le mot de passe.
Et puis, la 2FA est activé sur tous mes comptes.
#3
Y a des streamers qui vont pas apprécier qu’on voit les énormes revenus qu’ils ont perçu grâce à Twitch.
Heureusement, des mecs comme Zerator ont pris les devants pour être honnêtes avec leurs communautés.
#4
Perso, ca confirme surtout l’enoooorme disparité entre les top streamers et le reste. Surtout en France, où les top-streamers font souvent des streams ensembles ce qui renforce leur position de leader.
Bref, ca confirme que Twitch est une plateforme qui manque de “discoverability”.
#5
C’est comme tout dans la vie, premiers à arriver, premiers à gagner et tant mieux pour eux.
Zerator disait que la plupart des gros streamers français ont migré dans des contrées plus intéressantes fiscalement (Malte apparemment) quand ils ont commencé à gagner beaucoup.
Heureusement, lui et d’autres très gros streamers FR restent en France et paient leurs impôts en France.
#5.1
Dans le meme tweet, il dit aussi qu’il continue de les inviter aux évènements qu’il organise sachant cela. Donc il entretient le système en place.
#5.2
C’est normal des payer des impôts, ça veux dire que tu gagne des sous, et il faut partager.
C’est aussi nécessaire pour financer nos services publiques notamment.
Après, nous sommes nombreux à vouloir payer le moins possible….
#6
Quid des conversations privées ? Pour moi cela est plus sensible que le reste…
#7
Comme d’hab. Si des données personnelles ont fuité (nom, prénom, …) elles peuvent être utilisées pour lancer des procédure de récup de mot de passe perdu.
#8
Bof. L’énorme majorité des gros streamers affichent le nombre de subs recus. Tu multiplies par 3,5 (ou 4,5 pour ceux avant la baisse du prix du sub), et t’as le CA qu’ils touchent via Twitch.
Et ce n’est pas normal qu’il ait eu à se justifier, surtout vu toutes les actions qu’il mène. J’ai bien plus de mal avec des gros streamers qui se sont barrés à Malte pour payer moins d’impôts, après avoir bien profité du système francais.
Et tu as donc aussi lu que les évènements qu’il organise le dépassent aussi. Il n’y fait plus forcément tout ce qu’il veut vu l’ampleur qu’ils ont pris (comme toujours, il y a du bon et du mauvais, même dans le fait de grossir). Il ne peut plus vraiment se permettre de ne pas inviter une grosse partie des gros streamers juste parce qu’ils ne vivent plus en France, sinon les évènements pourraient être des demi-échecs face au but visé.
#9
C’est faux, ça c’est le prix payé par les utilisateurs, mais il y a la marge Twitch dedans. Et puis le CA brut ne veux pas dire grand-chose, vu la quantité d’impôts qui est payée dessus…
#10
C’est vrai, vu qu’on connait la proportion donnée par Twitch. 50% de base, 70 pour les gros.
Ca fait partie des explications de Zerator. Mais sans parler impôts, il y a déjà tous les frais inhérents à toute entreprise, dont les employés (surtout pour lui qui embauche des dizaines de personnes pour son évènementiel).
#11
Tu confirmes donc ma phrase “il entretient le système.”
C’est pas en mettant des double-négations (“il ne peut pas se permettre de ne pas …”) que ca valide l’excuse. Bref, c’est comme cela et on ne peut rien y faire. Comme il dit dans son tweet, dans 3 jours ce sera oublié. Et c’est surement vrai.
De plus, mon propos ce n’est pas que les top-streamer gagnent beaucoup d’argent.
Mon propos c’est que seuls les top-streamer gagnent beaucoup d’argent et que ni la plateforme, ni les top-streamer ne cherchent à changer cet état des choses.
#12
C’est là que je me rends compte que je suis un vieux quand pour une annonce comme ça je m’en bas les roustons
#13
C’est un très mauvais conseil, ceux qui se sont fait hacker avec le double facteur ont en plus leur numéro de tel qui circule dans la nature !
L’authentification double facteur est au contraire à éviter dans la plupart des cas : c’est une façon de récupérer votre identité, sans n’apporter aucune sécurité ! La sécurité la plus simple est un mot de passe généré unique par service, et limiter au maximum les infos données (ne jamais donner une info personnelle comme le nom ou les dates / lieu de naissance !)
#13.1
Ca n’est absolument pas un mauvais conseil…
(oups, je vois qu’on est d’accord, nous, j’avais pas vu l’ironie au départ ;) )
…parce que l’authentification à facteurs multiples n’est absolument pas synonyme de SMS. C’est d’ailleurs la plus mauvaise des méthodes, et je ne l’utilise que quand je suis obligé (coucou Apple, si on n’a pas plusieurs appareils de la marque). On sait depuis des années que les SMS sont tout sauf sécurisés. A part ça, il y a la biométrie, les clés type Yubico, les apps type MS/Google/Whatever Authenticator (qui n’ont pas besoin de n° de téléphone)…
L’authentification à facteurs multiples renforce bel et bien la sécurité.
#14
C’est vraiment dommage que le double facteur soit synonyme d’envoi de SMS.
Si seulement quelqu’un pouvait inventer une sorte de protocole avec un nom marrant (Friskies, Frolic…) qui permettrait d’utiliser un autre objet comme second facteur. Genre une clé usb avec une signature crypto… bref un truc pas cher, qu’on puisse trimbaler avec soi et qu’on a pas peur de perdre ou se faire voler.
#15
J’allais le dire.
#16
C’est limite gênant de lire ça…
Ne pas confondre honnêteté et opération de communication : ce jeune homme profite de l’occasion pour se placer au-dessus de la mélée, et prend surtout les devants car il sait sa situation indue.
Il n’aurait jamais communiqué sur ses revenus, et comme cela a été fait contre son gré, il n’a fait qu’anticiper la vague. Vous appelez ça vertu ? J’appelle ça contrôle anticipé de dommages.
Mëme si ce piratage est une catastrophe d’un point de vue exploitation de failles, c’est au moins une opportunité de forcer une transparence ponctuelle de la trop confortable & indue vie de certains.
Quand il souligne que d’autres pratiquent l’évasion fiscale mais que lui reste en France, cela est certes une bonne nouvelle… mais uniquement suivant une grille de lecture dans laquelle l’on accepte cette évasion.
Si on part du principe que payer les impôts sur des revenus générés en France est normal, ce jeune homme ne fait rien d’autre que ce qui est normal, et on renomme l’évasion fiscale en fraude fiscale. Ça prendrait quelques amendements sur quelques lois et cela aurait tout un tas de conséquences bien pratiques afin d’aller chercher les revenus manquants, responsables du déficit public.
Aucun crédit particulier à recevoir de faire ce qui est normal : je n’embête personne à rappeler/me pavaner que je paie mes impôts, mes taxes & cotisations, et ce même si je trouve certains mécanismes injuste. Parce que c’est normal.
Ensuite, quand à la vue des 1.4 M€ annuels qu’il touche, on s’insurge (à raison), il a eu pour stratégie de préciser que ça n’était qu’un chiffre d’affaires (qui s’écrit au pluriel, d’ailleurs)… avant de remuer le couteau dans la plaie en indiquant qu’il avait en plus d’autres revenus !
Si ce jeune homme touchait ne serait-ce que 10% en revenus nets de cette unique source, il serait déjà à des années-lumières de la population qui trimme au quotidien dans le système économique.
Par ailleurs, je ne sais s’il se rend compte de sa grossièreté quand il souligne qu’il a acheté “un bien immobilier” (montant évidemment non-cité) et qu’il indique qu’il est “encore en train de le rembourser”. Ben… oui ? Cela souligne surtout qu’il n’en a pas pour long à rembourser. Quelques années au maximum.
Déjà, il a la chance de pouvoir s’en procurer un : certains travailleurs n’auront jamais cette chance.
Ensuite, pour ceux qui achètent, sauf à avoir le même type de revenus que lui, ils s’endettent sur 25 ans, et mieux vaut ne pas perdre son salaire (donc aucune grève/résistance), car sinon payer la mensualité associée au prêt deviendra impossible.
Enfin, quand il se plaint de l’image de son métier, je trouve ça grotesque, voire un comble. Se qualifier d’“évènementiel” alors qu’il s’agit essentiellement d’un groupe de potes s’auto-entretenant sous couvert d’évènements…
Le véritable évènementiel est tourné vers les spectateurs, et parlez à n’importe quel intermittent pour savoir si ça paie bien. Ils vous expliqueront sans ambages.
Associer ce jeune homme à de l’évènementiel, c’est lui accorder une catégorie à laquelle il ne saurait prétendre.
En résumé, donc :
Le tout sans assumer, caché derrière un discours de riche tentant de se faire passer pour pauvre (ou juste “normal”).
Il a extrêmement de chance de pouvoir vivre très confortablement d’une activité de jeu permanent, selon ses propres desiderata.
Son activité fait rêver tous les cancres de France, mais seuls une poignée ont réussi, et de moins en moins réussiront.
#16.1
Je n’ai rien à ajouter ni à modifier. Merci
#16.2
Putain mais qu’est-ce que c’est triste de lire ça. Nivelons tout par le bas ! Devenons tous pauvres 😁 Quelle honte de gagner de l’argent 🙄
Mon dieu il s’est acheté une maison, et il a l’indécence de dire qu’il l’a payera en quelques années ! Il l’a dit qu’il réinvesti une partie de l’argent gagné. Il propose beaucoup d’événements comparé à d’autres. Qu’y a t’il de mal à se faire plaisir ?
Quand tu parles de chance, oui il doit y avoir une partie de chance, mais je pense surtout qu’il s’est bien bougé le cul ! Mais c’est toujours plus facile de critiquer 😏
Si c’est tellement facile, lance toi sur Twitch et on viendra te traiter de “sale riche” ☺️
#17
Ah… le biais français.
En France, gagner beaucoup d’argent c’est le mal. Donc défendre le fait qu’on gagne beaucoup d’argent c’est forcément une stratégie de damage-control. Ca peut pas être autre-chose.
Pour moi son message c’est une simple explication de ce qu’est l’entreprenariat. Et il est obligé de l’expliquer car, en France, le moyen standard de gagner sa vie c’est le salariat ou les allocs. Et avec le salaire ou les allocs standards on ne devient pas aussi riche que lui. Donc lui c’est le mal.
#18
Donc pas une clé USB a priori ^^
#19
Bah non pas du tout! Sur cet exemple, ceux qui avaient activé le double facteur se sont fait hacker comme les autres, et plus grave leur numéro de tel est dans la nature…
Le double facteur ici est un alibi pour récupérer des numéros de portables, et le fait que twitch se soit fait poutrer sans comprendre comment, montre bien que la sécurité est loin d’être leur principal intérêt :)
Malheureusement c’est assez généralisé : Twitter par ex refuse l’inscription sans saisir un tel de portable vérifié ! C’est disproportionné et contraire aux principes du RGPD, mais demandé sous couvert de “sécurité”.
Edit : J’ai connaissance des autres méthodes de double facteur, mais c’est malheureusement rare, et n’empêche pas de réclamer sans raison des données personnelles.
#19.1
Bah si, ça renforce la sécurité. Evidemment que si une base de données finit dans la nature, ceux qui ont activé le double facteur sont aussi dans cette base, donc ils sont aussi “hackés”, comme tu dis… mais comme il faut un 2ème facteur, récupérer leur mot de passe dans la base (en supposant que soit possible vu qu’ils sont hashés) ne suffit pas => On ne sait pas se connecter à leur compte. Alors que pour ceux qui auraient un mot de passe faible et pas de double facteur, le mot de passe est suffisant. C’est à ça que sert le double facteur.
Après, s’il y a des n° de tél dans cette base, c’est pas la faute du double facteur, c’est la faute de la société qui l’a implémenté comme une m°rde.
J’ai le multifacteurs activé sur Google, Amazon, Facebook, Microsoft, Paypal, Infomaniak, etc. Pas un seul n’a besoin de mon n° de tél pour le double facteur. Ca utilise un app Authenticator. Peut-être que j’avais déjà rempli mon n° de tél pour autre chose chez eux. C’est possible. Bien que, en général, le contact est plutôt l’adresse e-mail, et le n° de tél est facultatif. Mais le double facteur ne demande pas de n° de tél chez eux.
Le seul chez qui je suis obligé d’avoir un n° de tél, pour les SMS (qui est, je le répète, une méthode de m°rde) en double facteur, c’est… Apple. Parce qu’ils n’en démordent pas (comme pour d’autres choses) : chez eux, le 2FA, c’est soit envoyer un code sur un second (ou 3ème, ou…) appareil Apple… soit via SMS (si t’es trop pauvre pour avoir plusieurs appareils Apple). Pas d’app Authenticator, pas de clé, rien. Ils font chi°r.
#20
Il t’a expliqué que le 2FA n’est pas synomyme d’envoi par SMS, avec une bonne application comme Aegis, le 2FA renforce la sécurité, donc ne prends pas l’exemple du 2FA avec la méthode d’envoi par SMS, beaucoup moins sécurisé, comme une généralité.
La méthode n’est en effet pas top, mais que ça soit juste un alibi pour récupérer des numéros de tel me parait légèrement “théorie du complot”.
J’utilise le 2FA avec Aegis pour la plupart de mes comptes où je le peux (une dizaine) sans problèmes, donc j’estime que ça ne doit pas être si rare que ça.
#21
L’authentification à deux facteurs par SMS est de tout façon déconseillée depuis plusieurs années.
Tu peux par contre utiliser des applications comme Authy ou Google Authenticator sur mobile ou Authentificateur sous Linux.
Sinon, t’as également des clés matérielles telles que YubiKey, Nitrokey ou la Titan Security Key.
#22
Tous les gros sites permettent désormais le 2FA. Si ce n’est pas le cas, il faudrait vraiment les harceler pour qu’ils y passent 😁
Quant à la demande de numéro de téléphone, à mon avis, ça n’a rien à voir avec la sécurité. Ça doit surtout leur servir pour du tracking publicitaire et autres pratiques détestables.
Plus besoin de donner votre numéro de téléphone à Twitter pour bénéficier d’une sécurité accrue
#23
Et en prime, un certain nombre sont caritatifs et lui coûtent de l’argent (je pense notamment au Z Event, il en est de sa poche à chaque fois). Mais c’est clairement le mal!
#24
Utiliser un gestionnaire de mots de passe quand on s’inscrit à des plateformes en ligne devrait être une pratique tout aussi banale et évidente qu’attacher sa ceinture de sécurité lorsque l’on monte dans un véhicule.
En revanche, rien ne t’oblige à utiliser un service payant pour cela, il y a notamment KeeWeb, une application web libre, basée sur KeePass, un logiciel libre, utilisant le format standard KDBX, qui te fournit le même service gratuitement et avec transparence.
#24.1
Cimer pour Keeweb, je check !