NOTIONS ESSENTIELLES
Twitch : Service de diffusion de contenu vidéo en direct et de vidéo à la demande lancé en juin 2011, désormais possédé par Amazon. L’activité initiale et principale de la plateforme est la diffusion en direct de jeux vidéo ainsi que de compétitions de sport électronique (e-sport). Elle va par la suite se diversifier en proposant d’autres contenus : musical ou de « discussion ».
Streameur : Traduit de l’anglais, un streamer en ligne ou un streamer en direct, abrégé streamer, est une personne qui diffuse du contenu en ligne, depuis sa machine, via un flux en direct ou une vidéo préenregistrée.
« Le plus gros piratage que je n’ai jamais vu. » – Joe Tidy, reporter cybersécurité pour la BBC
Le mercredi 6 octobre dernier, un article publié sur le blog officiel de Twitch ainsi qu’un tweet posté sur le réseau social Twitter sont venus confirmer ce que certains qualifient déjà de « plus grande fuite de données de l’histoire ». En effet, le même jour, un « tiers malveillant » – comme il est appelé dans le communiqué – s’est introduit dans les systèmes de la plateforme. Les pirates à l’origine de l’attaque ont ensuite divulgué plus de 135 Go de données confidentielles sur un forum anonyme, ajoutant que ce n’était que la « première partie ». Mais quelles sont les données concernées par la fuite ?
Un préjudice considérable pour l’entreprise
Parmi les données divulguées, on trouve tout d’abord l’intégralité du code source de Twitch. Dans notre cas, cela inclus : le code source du site internet et les codes source de diverses applications mobiles mises en place par l’entreprise ; les outils de modération de la plateforme ; le kit de développement, ainsi que l’entièreté de l’historique du code et ses commentaires. Mais également : des listes de clients ; plusieurs entreprises propriétés de Twitch et divers projet en cours.
Ainsi, les traces d’un projet en développement du nom de « Vapor », visiblement destiné à concurrencer la plateforme de distribution de jeux vidéo en ligne Steam, apparaissent dans l’archive. Et pour couronner le tout, on y a également trouvé certains codes d’accès à la plateforme AWS (plateforme qui héberge Twitch).
La divulgation du chiffre d’affaires des diffuseurs de contenu
Oui, les « revenus » des diffuseurs partenaires de Twitch font partie des données concernées. En pratique, cela concerne plus de 10 000 streameurs et les informations financières portent sur les 3 dernières années. Ces chiffres, très cohérents, ont été confirmés par un nombre conséquent de concernés et semblent manifestement authentiques. Ces revenus comprennent : les bits (donation effectuée avec une devise payante, interne à la plateforme) ; les revenus publicitaires ; les recettes des campagnes promotionnelles conduites en collaboration avec la plateforme ; les abonnements des utilisateurs à la chaîne.
De plus, les « clés de stream » (identifiants uniques qui permettent à un diffuseur de diriger le flux de diffusion en direct depuis sa machine vers sa chaîne) étaient concernées. Elles ont toutes été réinitialisées par la plateforme peu de temps après, mais cela représente un préjudice considérable pour les diffuseurs qui pouvaient craindre de voir du contenu diffusé par un tiers, mais en leur nom.
Une fuite apparemment sans danger pour les utilisateurs du service
Selon l’entreprise, les combinaisons d’identifiants et de mots de passe ainsi que les informations de paiement des utilisateurs ne sont pas concernées par le leak. Malgré-tout, il est recommandé pour les utilisateurs de changer leurs mots de passes et d’activer l’authentification à double facteur afin de limiter les risques au maximum.
La réelle crainte c’est la potentielle deuxième vague de divulgations. En effet, la publication des pirates mentionnait qu’elle était la part one, la « première partie ». Restons donc attentif au contenu qui pourrait se voir révélé dans un second temps.
Quelles réactions après cette affaire ?
Du côté des utilisateurs, certains internautes ont semblé choqués par de telles sommes, pointant ainsi du doigt certains streameurs.
Concernant les diffuseurs partenaires, certains se sont servis de cette affaire pour organiser un live ou une vidéo dédiée, afin simplement de briser le silence et le tabou. Et bien que cela puisse paraître étonnant, le préjudice ne semble pas si retentissant au premier abord, du moins pour la majorité d’entre eux.
Et pour l’entreprise, si l’on en croit le dernier communiqué officiel à ce jour, publié le 15 octobre dernier, « l’incident est dû à un changement de configuration du serveur qui a permis un accès inapproprié par un tiers non autorisé ». L’entreprise certifie avoir pris les mesures nécessaires pour résoudre le problème et sécuriser ses systèmes. Elle assure également que « les mots de passe Twitch n’ont pas été exposés ». De plus, elle annonce avoir la certitude que « les systèmes qui stockent les identifiants de connexion n’ont pas été consultés, de même que les numéros de carte de crédit complets et l’ACH/les informations bancaires ».
Mais une telle attaque porté à une telle entreprise peut-elle se contenter de si peu d’explications et être aussi bien acceptée ? Il faut donc s’intéresser aux origines d’une telle fuite et au rôle d’Amazon, propriétaire de Twitch, dans cette histoire.
Un comportement d’entreprise laxiste en matière de données personnelles
Pour comprendre ce qui a pu se passer, on peut se référer à la newsletter du journaliste Casey Newton, qui a eu l’occasion de discuter de cette affaire avec des ex-employés de Twitch. Tous ont mentionné un laxisme de la part de l’entreprise en matière de sécurité. Ils indiquent que les autorisations d’accès des développeur sont bien plus larges que nécessaire. Certains d’entre eux ont également confié avoir toujours eu un accès aux bases de données plus d’un an après avoir cessé de travailler pour l’entreprise.
« Ce qu’il y a ici n’est guère plus que ce à quoi un ingénieur moyen de chez Twitch peut avoir accès. », « Durant très longtemps, n’importe quel employé pouvait y avoir accès en se rendant simplement sur le profil d’un streameur. » – Un internaute se présentant comme ex-employé, au sujet des données financières des diffuseurs
Si l’on s’en réfère au témoignage de plusieurs sources internes à l’entreprise, interviewées par le journal américain The Verge, l’idée qui ressort est que Twitch n’aurait pas pris les mesures adéquates afin de prévenir et de lutter contre les attaques internes. C’est-à-dire, par exemple, le risque que des employés ou ex-employés ne cherchent à provoquer une fuite des données confidentielles. The Verge écrit ainsi que « si une mesure ne générait pas de revenus, alors elle n’était pas considérée comme prioritaire ».
Selon certaines sources, Twitch serait même allée jusqu’à cacher certains problèmes de sécurité dont ils auraient déjà été victimes en 2017.
« C’est franchement étonnant que ça ne soit pas arrivé plus tôt. » – Un ex-employé
Amazon pointée du doigt en matière de protection des données personnelles
Il est en effet intéressant de rappeler que Twitch est une entreprise qui appartient à Amazon. Et au-delà de l’attaque portée à un tel symbole, il est légitime de s’interroger sur sa responsabilité vis-à-vis des données personnelles et de leur protection.
« Ce n’est pas normal, c’est Amazon. On parle d’une des plus grandes compagnies technologiques de la planète. […] Et elle n’est pas capable de sécuriser les données personnelles. » – Anis Ayari, Data Scientist
C’est vrai qu’au vu du succès du service Twitch et en tenant compte des moyens à la disposition d’Amazon, on serait en droit d’attendre mieux de leur part. Mais c’est surtout en raison du nombre colossal d’utilisateurs de la plateforme et de la quantité de données personnelles en jeu qu’il faut s’interroger.
Bien que Twitch ne requière que peu d’informations pour s’inscrire au service, il est relié à un compte Amazon, puisque l’abonnement Twitch Prime est l’un des services compris dans l’abonnement Amazon Prime. Nous avons vu récemment, dans le cas de l’interruption généralisée des services de Facebook le 4 octobre dernier, que les systèmes et les données pouvaient être centralisées de façon préoccupante. Ne ferait-on pas face, ici, à un cas de figure similaire ?
Quoiqu’il en soit, il semblerait que le problème d’Amazon n’est pas qu’elle « n’est pas capable », mais plutôt qu’elle ne gère pas la sécurité des données personnelles avec la même rigueur à tous les niveaux, surtout quand cela n’est pas synonyme de profit. Peut-être que cette affaire la fera changer de ligne directrice en la matière. On pourrait même souhaiter qu’elle y soit contrainte.
Sources :
- https://blog.twitch.tv/fr-fr/2021/10/15/updates-on-the-twitch-security-incident/
- https://www.theverge.com/2021/10/7/22714160/twitch-hack-security-data-breach-problems
- https://www.numerama.com/tech/746031-opacite-acces-non-controles-les-problemes-de-securite-de-twitch-remonteraient-bien-avant-la-fuite.html
- https://cyberguerre.numerama.com/13490-fuite-twitch-les-mots-de-passe-ne-pas-en-danger-a-ce-stade-annonce-la-plateforme.html
- https://www.numerama.com/tech/745689-dou-vient-la-fuite-de-twitch.html
- https://cyberguerre.numerama.com/13464-fuite-sur-twitch-revenus-de-streameurs-4-questions-sur-le-leak-colossal-qui-frapperait-la-plateforme.html
- https://www.leparisien.fr/video/video-amazon-nest-pas-capable-de-proteger-nos-donnees-un-data-scientist-decrypte-le-piratage-de-twitch-07-10-2021-KSY6YH7LOVG2TMKJHBVAVJATWA.php
- https://ccnull.de/foto/twitch-confirms-hack-and-data-lost-in-privacy-breach/1087916 (Image mise en avant ; Photographe : Marco Verch ; Aucune modification effectuée)