Après la découverte d'un bug, Twitter conseille de changer de mot de passe
Oups ! Twitter recommande de changer le mot de passe de son compte. Le service explique ce soir avoir identifié un bug embêtant. Il a permis de stocker en clair dans un log interne les mots de passe des utilisateurs créant un compte. Le bug a été corrigé et l'enquête menée par Twitter montre qu'il n'y a eu aucune brèche ni utilisation malicieuse jusqu'à présent.
Les mots de passe des comptes Twitter sont hachés avec bcrypt, qui remplace le mot de passe par une suite de numéros et de lettres stockée ensuite sur les serveurs de Twitter. Le bug faisait en sorte d'écrire les mots de passe en clair dans ce journal interne.
« Nous n'avons aucune raison de croire que des mots de passe aient quitté le système de Twitter ou qu'ils ont été exploités par quiconque », rassure le service. Néanmoins, le site conseille de changer le mot de passe de son compte Twitter (en utilisant un mot de passe fort qui ne sert pas pour s'identifier à d'autres services web1), d'activer l'authentification à deux facteurs partout où cela est possible, et de se servir d'un gestionnaire de mots de passe. Les 330 millions d'utilisateurs de Twitter se résoudront-ils à changer leur mot de passe ?
-
Si vous utilisez le mot de passe de votre compte Twitter pour d'autres services web, il vous faudra aussi modifier les mots de passe de ces autres services. Choisissez des mots de passe forts différents pour chacun de vos services en ligne ! ↩︎
Ah bon... merci pour l’info !
Meh.
Questions sur "l'authentification à deux facteurs". Oui sur le papier ça à l'air plus sécurisé vu qu'il faut renseigner un code qu'on reçois par notification ou SMS. Le problème c'est qu'est-ce qu'il advient si on a se fait voler son portable (ou perte) ?
@Rodri31
SMS : faut que le voleur ait le PIN de la carte SIM
Notification accès au code de l’iPhone .
Donc cela commence à faire beaucoup .
Généralement l’attaquant est de l’autre côté de la planète ...
@Sgt. Pepper
Je me suis mal exprimé. Je parlais pour nous ("victime") du vol ou d'une perte. Vu qu'on ne peut plus recevoir les notifications comment on se connecte sur un service ?
@Rodri31
Ha pardon
Faut changer de carte SIM ou de mobile ?
Mais en fait il y a aussi un code de secours à conserver au chaud
https://help.twitter.com/fr/managing-your-account/two-factor-authentication
@Rodri31
Pourquoi ne pas tour simplement demander une nouvelle carte sim à son opérateur ? ?
@Rodri31
Application authy
Tu l'indiques à ton opérateur.
Ce dernier va désactiver la carte SIM et t'en envoyer une nouvelle avec le même numéro de mobile.
Changé. Merci pour l’info
"hachés avec bcrypt, qui remplace le mot de passe par une suite aléatoire de numéros et de lettres"
La formulation n'est pas très claire... Un même mot de passe donnera un même hash (si l'on exclut un sel par utilisateur mais c'est une autre histoire). Il ne faut pas confondre entropie et aléatoire ;)
Une faille aussi grossière est lamentable de la part de Twitter.
@spockyss
Faut les excuser! Ils ont embauché sans le savoir l'un des développeurs d'Apple...
github a annoncé le exact même bug il y a quelques jours.
l'explication la plus plausible pour l'instant, c'est qu'il s'agit d'un bug dans un logiciel/composant fréquemment utilisé dans l'industrie, et je m'attends à ce que d'autres services annoncent la même chose dans les semaines à venir.
Bref, il faut comprendre que l'ensemble des architectures informatiques sont constituées de couches multiples (matérielles, logicielles, procédures) les unes sur les autres. Une partie étant maîtrisée en interne, le reste par vos prestataires et fournisseurs (cela va d'un microsoft jusqu'à un redhat en passant par entités à but non lucratifs) : les middlewares, logiciels de relations entre logiciels, sont nombreux.
Dans tout cela, le bug peut se glisser, il peut même être répandu dans l'industrie et il ne sert à rien de traiter les gens d'imbéciles depuis un formulaire internet.
La vie est complexe, c'est un travail constant.
-
"Faut les excuser! Ils ont embauché sans le savoir l'un des développeurs d'Apple..."
une frustration personnelle avec Apple ?
En ce qui me concerne, je goûte peu aux bugs du Finder quand on utilise un partage cifs. De là, à en faire des blagues...
Merci pour l'information. Je vais le changer demain via dashlane.
Ok et?? Le truc super con pour tous se faire avoir...mis à part Tweeter des liens d’infos je vois pas ce qu’on peut dérobé ou pirater de plus? J’ai mis l’identification à 2 facteurs + un vpn qui change toutes les 30 min donc bon...Facebook ont fait pareil il y a peu...
@johndoo
Puis-je vous demander l’utilité du VPN dans votre cas? L’authentification à 2 facteurs ok même avec le mot de passe un hacker fera rien mais VPN?
@R1x_Fr1x
Il se prend pour un hacker juste !
La psychiatrie a accès à internet oui oui
fréquemment, les gens utilisent le même mot de passe partout
si un des services est compromis, le mot passe devenu connu, il sera utilisé contre vous sur LES AUTRES services, il est donc important de prendre cela au sérieux.
bien sur, le mieux est de "compartimenter" ses mots de passe: utiliser un jeu de mots passe différents par "sphère" de sites web (les sites de banques super vitaux, les sites rigolos dont on se fiche, les sites d'oiseaux socia..heu de réseaux sociaux qui peuvent impacter votre réputation , et bien entendu les sites oranges où on écrit des pavés indigestes en commentaires :) )
Ainsi, ça minimise l'impact d'un mot de passe devenu compromis.
La solution ultime : on utilise un gestionnaire de mot de passe, on laisse le gestionnaire mettre un mot de passe UNIQUE _par_ site. On conserve précieusement le seul mot de passe MAÎTRE.
« Les 330 millions d'utilisateurs de Twitter se résoudront-ils à changer leur mot de passe ? »
À mon avis : pas du tout !! ?
Quelqu'un aurait le mot de passe de @realDonaldTrump, svp?
Je me déclencherais bien une bonne apocalypse nucléaire moi... j'ai l'esprit chafouin ce matin. ?
@r e m y
Essayes
« FakeNews » Ou « CrookedHillary « ?
@Sgt. Pepper
Pas bête... je n'avais pensé qu'à StormyDanielle
@r e m y
?
Tu m’étonnes ?
"Le bug faisait en sorte d'écrire les mots de passe en clair dans ce journal interne." un bug, plutôt une énorme erreur de programmation.
@Microbd
Une erreur qui se répète...
https://www.macg.co/os-x/2018/04/encore-un-souci-avec-les-mots-de-passe-des-volumes-apfs-chiffres-101893
Soit c'est le même développeur qui est passé d'Apple à Twitter, soit ils sortent de la même école! ?♂️
Je n'ai pas de mobile, je ne peux pas recevoir de SMS. Du coup je n'active jamais ce genre de service et je reste avec la bonne vieille méthode des passeword "roulés sous les aisselles".
"Choisissez des mots de passe forts différents pour chacun de vos services en ligne !"
Il faut vraiment arrêter de beugler ce faux conseil non tenable. S'ils sont forts et différents, on ne peut pas les retenir. Il faut dire
"Utiliser un gestionnaire de mots de passe" et ajouter "(en attendant que ces limaces qui gèrent le web trouvent un meilleur moyen que les mots de passe pour se connecter à un site)" car ça ne sont pas les solutions cryptographiques et biométriques qui manquent...
la blague : Nous n'avons aucune raison de croire que des mots de passe aient quitté le système de Twitter ou qu'ils ont été exploités par quiconque.
on vous demande pas de croire, mais assurer la securité