Après la découverte d'un bug, Twitter conseille de changer de mot de passe

Mickaël Bazoge |

Oups ! Twitter recommande de changer le mot de passe de son compte. Le service explique ce soir avoir identifié un bug embêtant. Il a permis de stocker en clair dans un log interne les mots de passe des utilisateurs créant un compte. Le bug a été corrigé et l'enquête menée par Twitter montre qu'il n'y a eu aucune brèche ni utilisation malicieuse jusqu'à présent.

Les mots de passe des comptes Twitter sont hachés avec bcrypt, qui remplace le mot de passe par une suite de numéros et de lettres stockée ensuite sur les serveurs de Twitter. Le bug faisait en sorte d'écrire les mots de passe en clair dans ce journal interne.

« Nous n'avons aucune raison de croire que des mots de passe aient quitté le système de Twitter ou qu'ils ont été exploités par quiconque », rassure le service. Néanmoins, le site conseille de changer le mot de passe de son compte Twitter (en utilisant un mot de passe fort qui ne sert pas pour s'identifier à d'autres services web1), d'activer l'authentification à deux facteurs partout où cela est possible, et de se servir d'un gestionnaire de mots de passe. Les 330 millions d'utilisateurs de Twitter se résoudront-ils à changer leur mot de passe ?


  1. Si vous utilisez le mot de passe de votre compte Twitter pour d'autres services web, il vous faudra aussi modifier les mots de passe de ces autres services. Choisissez des mots de passe forts différents pour chacun de vos services en ligne ! ↩︎

avatar Yoskiz (non vérifié) | 

Ah bon... merci pour l’info !

avatar Shralldam | 

Meh.

avatar Rodri31 | 

Questions sur "l'authentification à deux facteurs". Oui sur le papier ça à l'air plus sécurisé vu qu'il faut renseigner un code qu'on reçois par notification ou SMS. Le problème c'est qu'est-ce qu'il advient si on a se fait voler son portable (ou perte) ?

avatar Sgt. Pepper | 

@Rodri31

SMS : faut que le voleur ait le PIN de la carte SIM
Notification accès au code de l’iPhone .

Donc cela commence à faire beaucoup .
Généralement l’attaquant est de l’autre côté de la planète ...

avatar Rodri31 | 

@Sgt. Pepper

Je me suis mal exprimé. Je parlais pour nous ("victime") du vol ou d'une perte. Vu qu'on ne peut plus recevoir les notifications comment on se connecte sur un service ?

avatar Sgt. Pepper | 

@Rodri31

Ha pardon
Faut changer de carte SIM ou de mobile ?

Mais en fait il y a aussi un code de secours à conserver au chaud
https://help.twitter.com/fr/managing-your-account/two-factor-authentication

avatar hackroman | 

@Rodri31

Pourquoi ne pas tour simplement demander une nouvelle carte sim à son opérateur ? ?

avatar kaizo33 | 

@Rodri31

Application authy

avatar hautelfe | 

Tu l'indiques à ton opérateur.
Ce dernier va désactiver la carte SIM et t'en envoyer une nouvelle avec le même numéro de mobile.

avatar schaumeil | 

Changé. Merci pour l’info

avatar doloris | 

"hachés avec bcrypt, qui remplace le mot de passe par une suite aléatoire de numéros et de lettres"
La formulation n'est pas très claire... Un même mot de passe donnera un même hash (si l'on exclut un sel par utilisateur mais c'est une autre histoire). Il ne faut pas confondre entropie et aléatoire ;)

avatar spockyss | 

Une faille aussi grossière est lamentable de la part de Twitter.

avatar r e m y | 

@spockyss

Faut les excuser! Ils ont embauché sans le savoir l'un des développeurs d'Apple...

avatar oomu | 

github a annoncé le exact même bug il y a quelques jours.

l'explication la plus plausible pour l'instant, c'est qu'il s'agit d'un bug dans un logiciel/composant fréquemment utilisé dans l'industrie, et je m'attends à ce que d'autres services annoncent la même chose dans les semaines à venir.

Bref, il faut comprendre que l'ensemble des architectures informatiques sont constituées de couches multiples (matérielles, logicielles, procédures) les unes sur les autres. Une partie étant maîtrisée en interne, le reste par vos prestataires et fournisseurs (cela va d'un microsoft jusqu'à un redhat en passant par entités à but non lucratifs) : les middlewares, logiciels de relations entre logiciels, sont nombreux.

Dans tout cela, le bug peut se glisser, il peut même être répandu dans l'industrie et il ne sert à rien de traiter les gens d'imbéciles depuis un formulaire internet.

La vie est complexe, c'est un travail constant.

-
"Faut les excuser! Ils ont embauché sans le savoir l'un des développeurs d'Apple..."

une frustration personnelle avec Apple ?

En ce qui me concerne, je goûte peu aux bugs du Finder quand on utilise un partage cifs. De là, à en faire des blagues...

avatar NikoLeGaulois | 

Merci pour l'information. Je vais le changer demain via dashlane.

avatar johndoo | 

Ok et?? Le truc super con pour tous se faire avoir...mis à part Tweeter des liens d’infos je vois pas ce qu’on peut dérobé ou pirater de plus? J’ai mis l’identification à 2 facteurs + un vpn qui change toutes les 30 min donc bon...Facebook ont fait pareil il y a peu...

avatar R1x_Fr1x | 

@johndoo

Puis-je vous demander l’utilité du VPN dans votre cas? L’authentification à 2 facteurs ok même avec le mot de passe un hacker fera rien mais VPN?

avatar Amaczing | 

@R1x_Fr1x

Il se prend pour un hacker juste !

La psychiatrie a accès à internet oui oui

avatar oomu | 

fréquemment, les gens utilisent le même mot de passe partout

si un des services est compromis, le mot passe devenu connu, il sera utilisé contre vous sur LES AUTRES services, il est donc important de prendre cela au sérieux.

bien sur, le mieux est de "compartimenter" ses mots de passe: utiliser un jeu de mots passe différents par "sphère" de sites web (les sites de banques super vitaux, les sites rigolos dont on se fiche, les sites d'oiseaux socia..heu de réseaux sociaux qui peuvent impacter votre réputation , et bien entendu les sites oranges où on écrit des pavés indigestes en commentaires :) )

Ainsi, ça minimise l'impact d'un mot de passe devenu compromis.

La solution ultime : on utilise un gestionnaire de mot de passe, on laisse le gestionnaire mettre un mot de passe UNIQUE _par_ site. On conserve précieusement le seul mot de passe MAÎTRE.

avatar lepoulpebaleine | 

« Les 330 millions d'utilisateurs de Twitter se résoudront-ils à changer leur mot de passe ? »

À mon avis : pas du tout !! ?

avatar r e m y | 

Quelqu'un aurait le mot de passe de @realDonaldTrump, svp?
Je me déclencherais bien une bonne apocalypse nucléaire moi... j'ai l'esprit chafouin ce matin. ?

avatar Sgt. Pepper | 

@r e m y

Essayes
« FakeNews » Ou « CrookedHillary « ?

avatar r e m y | 

@Sgt. Pepper

Pas bête... je n'avais pensé qu'à StormyDanielle

avatar Sgt. Pepper | 

@r e m y

?
Tu m’étonnes ?

avatar Microbd | 

"Le bug faisait en sorte d'écrire les mots de passe en clair dans ce journal interne." un bug, plutôt une énorme erreur de programmation.

Pages

CONNEXION UTILISATEUR