Fuite massive pour Twitch, la plateforme de streaming vidéo d'Amazon aux 140 millions d'utilisateurs dans le monde. Ce 6 octobre au matin, un utilisateur anonyme a publié un lien vers une gigantesque fuite de données internes de l'entreprise. Le dossier pèse 128 gigaoctets (compressés, donc bien plus en réalité), et contient plus de 3 millions de fichiers. En raison de cette taille massive, le détail des informations n'a pas encore pu être vérifié en intégralité par les spécialistes, et le bilan que nous faisons est amené à évoluer. Mais déjà, il est certain que la fuite contient :
- Des informations sur les montants versés aux streamers (les vidéastes) depuis 2019. La plateforme les rémunère selon leurs abonnements, les dons reçus et les revenus publicitaires générés.
- Une partie ou l'intégralité du code source de Twitch, c'est-à-dire l'architecture de la plateforme elle-même.
- Une partie ou l'intégralité du code source des clients de Twitch - les applications Twitch pour Android, iOS ou encore PC.
- Des outils de développement utilisés en interne.
- Une partie ou l'intégralité du code source d'autres logiciels d'Amazon adossés à Twitch, comme Curseforge (un logiciel qui propose au téléchargement des add-on, des programmes qui modifient l'interface des jeux vidéo).
- Des outils d'audit d'Amazon, utilisés en interne pour tester la sécurité de la plateforme.
- Des informations sur le projet Vapor, une plateforme censée concurrencer Steam, la plateforme de vente de jeu vidéo dominant le marché.
- Des informations sur les mécanismes de stockage et d'authentification à la plateforme.
A priori, cette fuite de données ne contient pas les données personnelles, les identifiants, ou les informations bancaires des utilisateurs de Twitch. Le problème, c'est que les malfaiteurs présentent le dossier comme une "première partie", ce qui signifie qu'ils pourraient potentiellement divulguer ce genre d'informations dans un second temps. C'est pourquoi, par précaution, certains experts incitent les utilisateurs à changer leur mot de passe.
A 17h19 le jour même, Twitch est sorti de son silence :
"Nous confirmons qu'il y a eu une faille. Nos équipes travaillent en urgence pour déterminer la portée de l'incident. Nous tiendrons notre communauté au courant dès que des informations supplémentaires seront disponibles. Merci pour votre attention"
Une fuite massive, et massivement diffusée
Dans le message qui accompagne la fuite, le hacker - qui utilise le pronom "nous" - rappelle le lien entre Twitch avec Amazon, et précise son mobile :
Leur communauté [de Twitch et Amazon, NDLR] est un panier de crabes dégoûtant et toxique, alors pour créer plus de disruption et de compétition dans le milieu du streaming vidéo, nous les avons complètement pwned [jargon qui peut être traduit par "pourri" ou "compromis", ndlr].
Tout indique que la personne à l'origine de la fuite veut nuire à Twitch. Premièrement, elle a fait une mise en scène destinée à en faire un coup médiatique. Elle a aussi mis les données en accès public et gratuit au lieu d'essayer de les vendre ou de faire chanter Amazon - alors qu'elle aurait pu récolter des milliers de dollars.
Ensuite, elle a choisi de publier les documents sur un forum très populaire et accessible à n'importe qui (pas besoin d'aller sur le "dark web"). Autre avantage de ce forum : il s'est illustré par sa capacité à échapper aux régulations et à la censure ces dernières années. Autrement dit, la fuite devrait rester en ligne encore longtemps. Et dans tous les cas, le lien de téléchargement peer-to-peer (de l'ordinateur des hackers au vôtre) a déjà été largement diffusé.
Résultat : aux alentours de midi ce 6 octobre, plus de 2 000 ordinateurs téléchargeaient le dossier. Des dizaines de milliers de personnes vont donc se procurer la fuite, et la vie en ligne des fichiers volés ne fait que commencer : certains republient déjà une partie des informations sur d'autres plateformes.
Une fuite synonyme d'incident de sécurité (et de problèmes futurs)
Qui dit fuite, dit incident de sécurité. Si la situation reste floue sur le sujet, nul doute que les hackers ont réussi à accéder à des comptes confidentiels de l'entreprise. Pour l'heure, tous les scénarios sont envisageables : une source interne corrompue aurait pu leur ouvrir l'accès ; ils auraient pu dérober des identifiants ; ou encore, ils auraient pu profiter de vulnérabilités dans le système informatique des outils de développement utilisé par Twitch ou de Twitch lui-même. Le silence de l'entreprise sur la situation serait le signe que l'évaluation de l'incident est encore en cours, et qu'elle n'aurait pas encore découvert le problème en cause.
Parmi les données diffusées, le code source a une certaine valeur. Analysé correctement, il pourrait permettre à des concurrents peu scrupuleux de copier des éléments qui font l'avantage comparatif de Twitch. Et ce n'est pas tout : des cybercriminels pourraient être tentés de l'analyser en détail, à la recherche de failles à exploiter pour attaquer la plateforme à l'avenir.
Les streamers, victimes collatérales de l'incident
Les deuxièmes les plus touchés par cette fuite sont les streamers, dont les revenus (nets, et partiels) sont d'ores et déjà très discutés sur les réseaux sociaux. Zerator, tête d'affiche de la scène française, a comme d'autres désamorcé d'éventuels polémiques et détaillé la signification des chiffres de la fuite, dont il confirme la véracité.
Fasciné par les montants, le grand public fait ainsi le jeu des hackers. "Trouvez combien votre streamer préféré gagne", incitent-ils dans leur message. Les réactions causés par la révélation des montants pourrait affecter la vie privée de certains vidéaste.
Quoiqu'il en soit, l'affaire autour de la fuite de Twitch ne fait que commencer. Reste à savoir ce qui suivra en premier : les conclusions de l'enquête interne de l'entreprise, ou une deuxième publication de dossiers confidentiels.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés