Fuite de Twitch : pourquoi on peut craindre une deuxième vague

Le 6 octobre, Twitch a subi une fuite massive de 3 millions de fichiers internes. Bien qu'inquiétante, elle épargne les données personnelles des utilisateurs. Du moins, pour l'instant. Le hacker laisse entendre qu'il dispose d'autres informations à divulguer, et quelques indices laissent entendre qu'il ne bluffe pas.
François Manens

5 mn

Les données personnelles et identifiants des utilisateurs semblent épargnées.
Les données personnelles et identifiants des utilisateurs semblent épargnées. (Crédits : Creative Commons)

Mercredi 6 octobre, Twitch a subi une fuite de données massive, publiée dans le but d'attirer le plus d'attention possible, avec succès. Un dossier en particulier a concentré les discussions. Il contient le détail -sur plus de 167 millions de lignes- des sommes versées par la plateforme de streaming vidéo à ses plus gros créateurs depuis 2019. Si certains d'entre eux réfutent les montants indiqués, bon nombre confirment leur exactitude. Le relatif secret autour de la rémunération des créateurs a toujours intrigué le grand public, et la présence des montants dans la fuite lui a donné une ampleur médiatique rare.

A l'exception de ce fichier financier, le leak de 3 millions de fichiers internes contient exclusivement des données techniques. On y trouve surtout des morceaux des codes sources de Twitch et de logiciels annexes. Ces informations représentent un danger industriel pour la filiale d'Amazon, car correctement analysées, elles pourraient révéler les secrets de fabrication de la plateforme, numéro 1 de son secteur. Pire, si le code source s'avère aussi complet que le prétend le hacker, il suffirait pour créer un fork, c'est-à-dire une copie, de Twitch.

Mais au moins, les données personnelles et identifiants des utilisateurs semblent épargnées. Le problème, c'est que trois indices suggèrent que cette fuite ne serait que le premier volet d'une série, et que le hacker a encore d'autres informations à révéler.

Lire aussi 6 mnStreaming vidéo : pourquoi la fuite de données massive de Twitch sort de l'ordinaire

« Fuite de Twitch : partie 1 »

Premier indice, le plus évident : le nom donné à la fuite. Le hacker l'a nommé « part 1 » (partie 1, en anglais), et laisse entendre qu'il aurait encore d'autres informations à divulguer. Dans le message qui accompagnait la fuite (depuis supprimé), le pirate anonyme lançait : « nous avons complètement pwned [compromis, ndlr] Twitch, et dans cette première partie, nous publions le code source d'environ 6.000 dépôts Git. »

Traduction : il affirmait qu'il avait entièrement compromis le système informatique de Twitch. La première fuite ne serait qu'un extrait, et proviendrait seulement de dépôts Git -des espaces de stockage partagés pour le code informatique, utilisés par les développeurs. Ces dépôts leur permettent de travailler sur un même morceau de code en même temps et ils sont utilisés systématiquement dans l'industrie logiciel. Obtenez l'accès à ces mines de code, et vous pourrez observer les secrets de conception des logiciels de l'entreprise.

Justement, le journaliste spécialisé Casey Newton a collecté des témoignages inquiétants d'anciens employés sur les pratiques de sécurité de Twitch. Ses sources affirment que la menace intérieure -c'est-à-dire l'éventualité d'un acte malveillant commis par un employé- n'est pas pris en compte dans le modèle de sécurité de l'entreprise. Résultat : « n'importe quel ingénieur peut cloner n'importe quel dépôt de code, et il serait possible pour quelqu'un de copier-coller l'intégralité du code », détaille le journaliste indépendant. Sa source affirme que même une année après son départ de Twitch, il avait toujours un haut niveau d'accès à ses dépôts de code. Autrement dit, il serait facile pour un hacker d'obtenir un de ces accès, de la part d'un employé mécontent ou soudoyé.

Mais si l'on en croit le pirate, son intrusion irait au-delà de l'accès aux dépôts, puisqu'il aurait d'autres dossiers en sa possession. Reste qu'il faut garder à l'esprit que c'est le malfrat qui a donné l'appellation « partie 1 », et ce ne serait pas la première fois qu'un truand bluffe sur les informations qu'il détient.

Twitch n'a pas encore découvert le détail de l'incident

Deuxième indice, la communication particulièrement vague et prudente de Twitch sur l'incident laisse entendre qu'il n'en a pas encore découvert les limites. Plus de 24h après la fuite, l'entreprise donne pour maigre détail : « Nous avons appris que certaines données étaient exposées sur Internet en raison d'une erreur dans le changement de configuration d'un serveur Twitch, auquel un tiers malveillant a ensuite accédé ».

Elle affirme également que « pour l'instant » elle n'a trouvé aucune indication d'une éventuelle compromission des identifiants des utilisateurs, et que les informations complètes de carte bancaire (utilisées pour effectuer des dons et s'abonner aux chaînes) n'ont pas pu être exposées, car ce n'est pas l'entreprise elle-même qui les stocke. Avec ces maigres déclarations, difficile de savoir si Twitch a clos l'incident, où s'il craint toujours que les hackers aient une présence sur son système informatique.

Le fichier des gains de streamers n'est pas à sa place

Troisième et dernier indice : le dossier sur les revenus de streamers.

« La présence de l'historique de paiement sur le dépôt Git n'est pas logique, et la structure du dossier est différente de celle des autres », relève un expert consulté par la Tribune.

Autrement dit, le dossier pourrait provenir d'une autre source, et aurait simplement été ajouté pour alimenter l'engouement médiatique autour de la fuite.

Bref : la publication d'une seconde vague de fichiers confidentiels semble se profiler.  Mais il existe deux scénarios dans lesquels l'épée de Damoclès ne tombe pas sur la filiale d'Amazon.

Premier scénario, évident : le hacker bluffe, et il n'avait accès qu'aux Git de l'entreprise. Deuxième scénario : il décide d'arrêter son opération de déstabilisation de l'entreprise après son premier coup d'éclat. Un événement alimente cette piste : sa première publication sur 4Chan n'existe plus. Même si le forum pourrait avoir fait une exception, il est avant tout réputé pour son extrême laisser-aller sur la modération (même face à l'illégalité). Ou alors, le hacker aurait supprimé la publication lui-même. Dans les deux cas, ce pourrait être un comportement motivé par la crainte de représailles des forces de l'ordre, assez courante chez les cybercriminels, qui n'hésitent pas à effacer leurs traces avant qu'il ne soit trop tard.

François Manens

5 mn

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.