32 millions d'identifiants et mots de passe de comptes Twitter auraient été piratés, principalement en Russie. Les serveurs du réseau social n'ont pas été compromis.

Encore un piratage majeur de mots de passe ? Après les fuites de 171 millions de mots de passe VK (le Facebook russe), de 427 millions de comptes Myspace, et 167 millions de mots de passe LinkedIn, le tout en l’espace de quelques semaines, voici que 32 millions de mots de passe Twitter auraient à leur tour fuité.

Comme de coutume, c’est le site LeakedSource qui annonce l’information, en expliquant avoir été alerté par le même internaute anonyme que pour les mots de passe VK, Tessa88@exploit.im. La liste des mots de passe compromis serait mise en vente « sur le dark web », c’est-à-dire très certainement sur un site hébergé à travers le réseau d’anonymisation Tor.

La piste d’un malware

La base de données contiendrait très exactemet 32 888 300 enregistrements, avec adresse e-mail, mot de passe en clair, nom d’utilisateur et parfois une adresse e-mail secondaire. Cependant, Twitter lui-même ne semble pas avoir été piraté.

La liste a très certainement été obtenue par l’intermédiaire de malwares installés sur les PC des victimes, tels que des keyloggers, qui ont permis aux hackers de compiler les mots de passe au moment où ils étaient saisis par l’utilisateur. Le site pense à un malware sur les navigateurs Chrome et Firefox, en raison de la présence épisodique de chaînes de caractères « blank » ou « null » dans les champs dédiés aux mots de passe.

Les Russes seraient par ailleurs sur-représentés, ce qui peut expliquer que la source soit la même que pour VK.

De son côté, Twitter assure également que ses serveurs n’ont pas été compromis, et rappelle qu’il stocke tous ses mots de passe de façon chiffrée, avec une technique de hashage qui évite de retrouver le mot de passe en clair en cas de piratage de la base de données utilisateurs.

Le réseau social a également mis en place des systèmes de double-authentification, qui imposent non seulement de saisir un mot de passe pour s’identifier sur Twitter, mais aussi de confirmer par un SMS envoyé vers le numéro de téléphone mobile de l’utilisateur. La mesure est désormais généralisée et les utilisateur sont tous poussés à sécuriser ainsi leurs comptes.

Michael Coastes, le directeur de la sécurité des informations chez Twitter, a lui-même livré les résultats de l’enquête menée. Il précise que tous les mots de passe sont hashés avec la fonction bcrypt.

Partager sur les réseaux sociaux

Articles liés