Mauvaise nouvelle. Twitch, le site populaire de streaming, a été piraté. Une fuite anonyme sur les forums de discussion de 4chan a publié un torrent de 125 Go qui contiendrait prétendument le code source du service de streaming, ainsi que des informations de paiement pour les créateurs et l'existence d'un rival inédit d'Amazon Steam.
« Nous avons appris que certaines données ont été exposées sur Internet en raison d'une erreur dans un changement de configuration du serveur Twitch auquel un tiers malveillant a ensuite accédé. Nos équipes travaillent de toute urgence pour enquêter sur l'incident », a indiqué le service dans un communiqué. « Pour le moment, nous n'avons aucune indication que les identifiants de connexion ont été exposés. Nous continuons notre investigation. De plus, les numéros de carte de crédit complets ne sont pas stockés par Twitch, de sorte qu'ils n'ont pas été exposés ». Une enquête ainsi qu'une analyse d'impact est en cours pour comprendre ce qui s'est passé.
La communauté Twitch « cloaque toxique dégoûtant » pour les pirates
Le journaliste Catalin Cimpanu de The Record a réussi à télécharger certains des fichiers et a confirmé que « le contenu de la fuite est en accord avec ce que les hacktivistes ont prétendu avoir partagé ». Pendant ce temps, le chercheur en sécurité Troy Hunt a compilé un fil Twitter de divers streamers Twitch confirmant que les données de paiement sont réelles. De son côté, Video Game Chronicles indique qu'une source anonyme de l'entreprise leur a dit que les données divulguées sont vraies.
Parmi les données hackées : trois ans d'informations sur les paiements aux créateurs, du code source de Twitch incluant l'historique des commits remontant à ses débuts, des logiciels clients pour PC et consoles de jeux notamment. On trouve également mention d'un concurrent de Steam nommé « Vapor », des informations sur d'autres produits et services (CurseForge, SDK et outils internes d'AWS utilisés par Twitch...). Sur leur page, les pirates ont indiqué que cette fuite était destinée « à amener de la concurrence en perturbant le marché de streaming vidéo en ligne », car la communauté de Twitch est « un cloaque toxique dégoûtant ».
L'infrastructure principale de Twitch mise à nue
Heureusement, les mots de passe des utilisateurs ne semblent pas faire partie des fichiers, mais la fuite a été qualifiée « de premier plan » et Catalin Cimpanu note que les torrents incluent des dossiers contenant des informations sur l'identité des utilisateurs et les mécanismes d'authentification de Twitch ainsi que des outils de gestion d'administrateur. Ennuyeux aussi : des données relatives à la sécurité interne de Twitch incluant des modèles de menaces sur tableaux blancs décrivant diverses parties de son infrastructure principale.
Compte tenu de ces informations, il est vivement recommandé de modifier son mot de passe Twitch et d'activer l'authentification à double facteur pour le site, juste au cas où les données utilisateurs seraient compromises. Si vous êtes un créateur de contenu qui diffuse sur Twitch, assurez-vous que vos informations d'identification bancaires utilisent également un mot de passe fort et unique et sont protégées par une authentification à deux facteurs si possible. Cette fuite ne devrait en aucun cas les mettre en danger, mais mieux vaut prévenir que guérir. Rendez-vous donc dès que possible sur la page des paramètres de sécurité de Twitch pour modifier vos paramètres de sécurité.