32 millions de mots de passe Twitter auraient été piratés
Encore un piratage majeur de mots de passe ?
Comme de coutume, c'est le site LeakedSource qui annonce l'information, en expliquant avoir été alerté par le même internaute anonyme que pour les mots de passe VK, [email protected]. La liste des mots de passe compromis serait mise en vente « sur le dark web », c'est-à-dire très certainement sur un site hébergé à travers le réseau d'anonymisation Tor.
La piste d'un malware
La base de données contiendrait très exactemet 32 888 300 enregistrements, avec adresse e-mail, mot de passe en clair, nom d'utilisateur et parfois une adresse e-mail secondaire. Cependant, Twitter lui-même ne semble pas avoir été piraté.
La liste a très certainement été obtenue par l'intermédiaire de malwares installés sur les PC des victimes, tels que des keyloggers, qui ont permis aux hackers de compiler les mots de passe au moment où ils étaient saisis par l'utilisateur. Le site pense à un malware sur les navigateurs Chrome et Firefox, en raison de la présence épisodique de chaînes de caractères « blank » ou « null » dans les champs dédiés aux mots de passe.
Les Russes seraient par ailleurs sur-représentés, ce qui peut expliquer que la source soit la même que pour VK.
De son côté, Twitter assure également que ses serveurs n'ont pas été compromis, et rappelle qu'il stocke tous ses mots de passe de façon chiffrée, avec une technique de hashage qui évite de retrouver le mot de passe en clair en cas de piratage de la base de données utilisateurs.
https://twitter.com/Support/status/739949019594674176
Le réseau social a également mis en place des systèmes de double-authentification, qui imposent non seulement de saisir un mot de passe pour s'identifier sur Twitter, mais aussi de confirmer par un SMS envoyé vers le numéro de téléphone mobile de l'utilisateur. La mesure est désormais généralisée et les utilisateur sont tous poussés à sécuriser ainsi leurs comptes.
Michael Coastes, le directeur de la sécurité des informations chez Twitter, a lui-même livré les résultats de l'enquête menée. Il précise que tous les mots de passe sont hashés avec la fonction bcrypt.
https://twitter.com/_mwc/status/740764470708965376