Twitter assure n'avoir trouvé aucune preuve d'intrusion dans ses systèmes mais recommande tout de même de modifier son code secret, y compris sur les applis tierces.
Bug dans le hachage
Cela devrait être la première chose à faire aujourd'hui. Twitter invite ses 330 millions d'utilisateurs à changer sans délai leur mot de passe. La compagnie a en effet découvert dans ses systèmes un bug qui les aurait exposés en clair. La menace serait toutefois limitée : après enquête, Twitter est à peu près certain qu'aucune intrusion n'a eu lieu et que le registre des mots de passe non masqués n'a pas été dérobé.Le problème viendrait d'une erreur dans le processus de hachage qui permet de masquer les mots de passe. Ce processus exploite une fonction baptisée « bcrypt » qui remplace le mot de passe authentique par des caractères aléatoires. Ces mots de passe encryptés (en théorie) sont ensuite stockés sur un registre.
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you've used this password. https://t.co/RyEDvQOTaZ
— Twitter Support (@TwitterSupport) 3 mai 2018
Depuis combien de temps ce bug ?
Mais Twitter s'est rendu compte, par lui-même, à ses dires, que les mots de passe apparaissaient en fait non masqués dans son log interne. Le registre a été immédiatement vidé par mesure de sécurité et Twitter assure tout mettre en oeuvre pour que ce bug ne se reproduise pas.Twitter ne précise cependant pas si des comptes ont été compromis par cette erreur ni depuis combien de temps perdurait ce problème dans le processus de hachage et d'encryptage des mots de passe. L'urgence exprimée par Twitter, via un message apparaissant à l'arrivée sur la plateforme, indique tout de même que le problème est considéré comme grave par la compagnie de Jack Dorsey.
