« Une erreur dans un changement de configuration du serveur Twitch ». Selon les équipes de Twitch, c’est donc à cause d’une simple erreur que près de 135 Go de données confidentielles ont fuité le 6 octobre 2021.L’entreprise, qui a annoncé dans un billet de blog très vague la nouvelle, a expliqué que c’était cette « erreur » qui avait ensuite permis à « un tiers malveillant » d’avoir accès aux serveurs internes, et donc de les faire fuiter par la suite.
Pour l’instant, la plateforme n’a pas vraiment souffert du hack. À part la révélation de quelques secrets bien gardés, comme l’attribution du fameux « Golden Kappa » et d’un projet de création d’un concurrent à la plateforme Steam, Twitch s’en sort plutôt bien. Ce sont surtout les streameurs et leurs revenus qui ont attiré l’attention.
Mais les conséquences pour Twitch seront cependant considérables sur le long terme, surtout sur le plan de la sécurité. En ayant connaissance des processus internes, il va être plus facile pour des hackers d’outrepasser les mesures mises en place par Twitch pour se protéger. Mais la plateforme ne peut s’en prendre qu’à elle-même, selon plusieurs médias : de nombreux problèmes de sécurité auraient été connus en interne depuis des années, sans que la direction n’agisse en conséquence.
Des problèmes connus en interne depuis 2017
Le journal américain The Verge a interviewé plusieurs sources internes à Twitch, dont d’anciens employés qui décrivent une entreprise « où les employés étaient concernés par les problèmes de sécurité, mais le management, beaucoup moins ». Une source du journal décrit également une entreprise où les équipes de direction n’auraient pas véritablement voulu prendre à bras le corps les problèmes de modération, et où les mesures pour assurer la sécurité des streameurs et streameuses auraient été prises « très lentement ». « Si une mesure ne générait pas de revenus, alors elle n’était pas considérée comme prioritaire », écrit le journal.
Plus alarmant encore, selon une source de The Verge, Twitch aurait choisi de ne pas révéler certains problèmes de sécurité dont elle aurait été victime par le passé. Ainsi, en 2017, la plateforme n’aurait pas informé les utilisateurs qu’un gros problème de sécurité avait lieu. Des arnaqueurs seraient entrés en contact avec des streameurs, ce qui aurait eu pour conséquence d’exposer des comptes Twitch à des profils Amazon utilisés par des escrocs.
Des outils interne pas assez sécurisés
Deux sources de The Verge font état d’outils de travail pas suffisamment bien contrôlés, sur le plan de la sureté. Et le média américain n’est pas le seul journal a avoir eu vent de manquements sur ce plan. Le magasine spécialisé Plateformer News, qui a également interrogé d’ anciens salariés et des ingénieurs actuels de Twitch, fait état d’importantes lacunes. Selon ces sources, l’entreprise n’aurait pas pris de mesures efficaces pour lutter contre les risques internes, notamment le risque que poseraient des employés qui chercheraient à voler ou faire fuiter des données. De plus, les ingénieurs de la plateforme auraient eu accès à tous les répertoires de codes — rendant très simple le fait de cloner l’entièreté du code de tout le site.
Pour l’instant, le pire semble avoir été évité pour Twitch. Mais la plateforme n’est pas au bout de ses peines. La fuite de son code source a exposé les mécanismes utilisés par la plateforme, ce qui pourrait faciliter la recherche de vulnérabilités. Ces failles pourraient ensuite être exploitées pour déclencher des bugs, lancer une attaque, ou accéder à des parties non autorisées du site. Pour la plateforme, les ennuis et les problèmes de sécurité ne font certainement que commencer.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
