Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

D'où vient la fuite de Twitch ?

Tout le code source de Twitch s’est retrouvé en libre accès sur le net, suite à une fuite historique de données. De plus en plus d’indices pointent vers la probabilité d’une « attaque » venant d’un employé ou ex-employé.

Le service de streaming Twitch a connu l’une des pires fuites de son histoire le 6 octobre 2021. Une archive de plus de 135 Go contenant le code source du site, des projets en développement et les revenus de très nombreux streameurs (et streameuses), a été mise en libre accès sur le net.

Un accès « malveillant » d'après Twitch

C’est une fuite d’ampleur pour Twitch, qui explique être encore en train de travailler « pour comprendre tous les détails de cet incident ». La question primordiale, qui reste en suspens pour le moment est celle de l’origine de la fuite. Pour éviter de se retrouver dans la même panade d’ici quelques mois, il est indispensable pour Twitch de comprendre d’où vient le problème.

Sur cette question, l’entreprise reste pour le moment assez discrète. Dans un billet de blog, Twitch précise simplement que « certaines données ont été exposées sur internet en raison d’une erreur dans un changement de configuration du serveur Twitch, auquel un tiers malveillant a eu accès par la suite ». Une explication quelque peu lacunaire pour une fuite de 135 Go qui concerne 6 000 et quelques dépôts logiciels. Fort heureusement, les mots de passe ne semblent pas être concernés pour le moment.

L’archive à laquelle Numerama a pu avoir accès semble être un copier-coller brut de l’intégralité du site. La structure du dossier rappelle celle d’un serveur de production avec chaque module logiciel et chaque fichier de configuration proprement rangé dans un dossier adapté. L’extraction d’une telle quantité d’information, qui plus est aussi bien structurée, accrédite la thèse d’un « piratage » par un ancien employé.

Des ex-employés avaient toujours accès au site

Dans sa newsletter, le journaliste Casey Newton explique avoir parlé à d’anciens ingénieurs de chez Twitch. Tous pointent du doigt les pratiques de sécurité un peu trop laxiste de l’entreprise. Chaque développeur a accès à tous les dépôts logiciels, même ceux sur lesquels ils ne travaillent pas. Plusieurs d’entre eux auraient même conservé un accès à la base de données, plus d’un après leur départ. Mélangez à ça un manque criant d’outil de sécurité pour se protéger des « attaques » internes, vous obtenez des serveurs ouverts aux quatre vents. « C’est franchement étonnant que ça ne soit pas arrivé plus tôt », assène un ex-employé.

Sur Hacker News, un internaute se présentant comme ex-employé de Twitch explique que « ce qu’il y a ici n’est guère plus que ce à quoi un ingénieur moyen de chez Twitch peut avoir accès ». Concernant les données financières des vidéastes, il explique que « durant très longtemps, n’importe quel employé pouvait y avoir accès en se rendant simplement sur le profil d’un streameur.»

Il parait donc fort probable que cette gigantesque fuite de données vienne d’un employé (ou ex-employé) de Twitch qui avait des comptes à régler avec l’entreprise. Cela ne serait pas incompatible avec le discours officiel de l’entreprise. Le siphonnage de données par un ingénieur peut tout à fait être qualifié de « malveillant », même si aucune faille informatique n’a été véritablement exploitée.