Branle-bas de combat chez Twitter en ce début de journée ! Après la découverte d’un bug informatique, les mots de passe stockés de manière chiffrée se sont retrouvés en clair sur un fichier de log interne. Tous les utilisateurs sont invités à changer leur mot de passe.
Est-ce là une façon de marquer le coup pour la journée mondiale du mot de passe ? Si c’est le cas, c’est plutôt bof 🙂 Bref, lorsque vous vous connectez sur votre compte Twitter ce matin, voici le message que vous allez normalement voir s’afficher :
Comme dans tous les services Web, les mots de passe sont normalement stockés de manière chiffrée sur les serveurs. Mais les équipes de Twitter expliquent qu’un bug a été découvert et aurait causé « un stockage de ces mots de passe en clair sur un fichier de log interne ». Selon Mr Agrawal, « Le bug est réglé et notre enquête ne montre aucune tentative d’intrusion ou une mauvaise utilisation du fichier de log par quiconque ».
Le problème peut donc se résumé ainsi : alors que les mots de passe sont systématiquement passés à travers un processus de hachage via bcrypt, ces derniers ce sont retrouvés, à cause d’un bug, trop tôt dans les logs avant même d’être hachés. Twitter précise que l’ensemble des logs concernés ont été supprimés définitivement.
Attention : GitHub a eu le même problème en début de mois !
Reste donc plus que la réinitialisation des mots de passe utilisateurs pour clore l’incident…
Bref, pas de panique hâtive, puisque si personne n’a eu accès à ce fameux fichier log, aucun compte n’a été compromis. Cependant, prudence oblige, tout le monde doit passer par la case changement de mot de passe via les paramètres du compte.
Twitter souhaite visiblement mettre fin aux différents problèmes de sécurité qui ont entachés son existence et propose à tous un guide pas-à-pas pour augmenter la sécurité des comptes utilisateurs :
- Changez votre mot de passe et celui de tout autre site/service qui utiliserait le même
- Utilisez un mot de passe fort que vous n’utiliserait nulle part ailleurs
- Activez la vérification en deux temps
- Utilisez un logiciel de gestion des mots de passe afin d’utiliser des mots de passe très forts pour tous vos services
Martin Hron, Security Researcher, chez Avast, a fait le commentaire suivant :
« Avec cette vulnérabilité, lorsqu’un utilisateur changeait ses mots de passe, ou en créait un nouveau, ses identifiants étaient lisibles en texte clair, dans un registre interne du système de Twitter habituellement utilisé à des fins de débogage. Les employés ayant accès au système de connexion interne pouvaient alors récupérer ces mots de passe. Le risque que le mot de passe d’un utilisateur ait pu être compromis est minime, ou moyen. Cependant, il est conseillé de changer ses mots de passe, car personne ne sait actuellement pendant combien de temps ce registre a été disponible. »