Twitter avoue son bug de sécurité et s’explique…

Mathieu Chartier Réseaux sociaux 0 commentaire

Sécurité et le réseau social Twitter

Les passionnés de réseaux sociaux, et notamment de Twitter, ont déjà dû être mis au courant d'un récent bug de sécurité rencontré sur le réseau social à l'effigie de Larry Bird. En effet, Twitter a annoncé avoir rencontré un problème de stockage de mots de passe d'utilisateurs (non cryptés) dans une base de données. La firme a transmis des messages à l'ensemble des usagers afin de modifier rapidement leur mot de passe pour prévenir les risques potentiels.

Le bug s'explique par le fait que des mots de passe non masqués ont été stockés par erreur dans des journaux de bord de la plateforme (logs). Il semblerait que Twitter ait réagit avec intelligence car des études internes ont été menées et, semble-t-il, aucun des mots de passe n'aurait été utilisés à ce jour. Donc, plusieurs hypothèses peuvent s'imaginer :

  • le bug n'a jamais été repéré avant que Twitter ne le découvre, et donc la correction sauve les meubles ;
  • le bug a été repéré mais réparé trop tard pour éviter un potentiel vol de mots de passe ;
  • des mots de passe ont été dérobés mais jamais utilisés à mauvais escient ;
  • des mots de passe ont été dérobés et ont été utilisés, même si les études menées par Twitter tendent à penser le contraire.
Utilisez des mots de passe sécurisés

Dans le cas de Twitter, il suffit de changer son mot de passe pour résoudre le problème de sécurité facilement. N'oubliez pas d'ajouter un mot de passe vraiment sécurisé et facilement mémorisable à vos yeux. Souvent, je conseille aux gens de penser à une phrase courte qu'ils aiment ou à une assimilation de mots, puis de le "crypter" avec des caractères spéciaux. Je cite un exemple totalement aléatoire (ne testez pas ce mot de passe dans mes comptes, vous perdrez votre temps... ^^) : "M@thi3uCh4rtier3stC00L". Ce n'est qu'un exemple simple, mais il va falloir de nombreux heures de brute force pour trouver un mot de passe de la sorte... ;-)

Twitter utilise la fonction de hachage bcrypt pour ses mots de passe. Pour les plus néophytes d'entre vous, la nuance entre "cryptage" et "hachage" se porte surtout sur le fait qu'il n'est pas possible de retrouver une chaîne de caractères "hachées", ce qui est le cas avec une chaîne cryptée. C'est pourquoi nous sommes tous habitués à la page "Mot de passe oublié ?" qui nous renvoie un mot de page généré aléatoirement plutôt que notre mot de passe (si un site vous renvoie directement votre mot de passe, il est temps de vous inquiéter... ^^).

Bcrypt est une méthode créée en 1999 qui a bonne réputation en matière de sécurité car elle arrive encore à lutter avec un grand succès contre les attaques de brute force. Couplé à d'autres systèmes de sécurité, le nombre d'attaques qui aboutissent peut se réduire comme peaux de chagrin à ce jour. Dans le bug de Twitter, c'est malheureusement une erreur interne dans le réseau social qui a permis d'enregistrer les mots de passe non hachés dans des logs avant la fin du processus. La firme a donc tout supprimé et résolu le problème d'enregistrement dans les logs. En espérant que cela ne se reproduise plus...

Twitter s'est excusé pour la gêne occasionnée dans son communiqué et réitère ses conseils en matière de connexion, à savoir de modifier son mot de passe mais aussi d'activer idéalement la double authentification (2FA). Cette dernière permet de freiner de nombreuses attaques et donc de limiter les dégâts, même si, ne l'oublions jamais, rien n'est infaillible en informatique...