Twitter demande à ses utilisateurs de changer leur mot de passe

Twitter a indiqué avoir trouvé un bug plutôt gênant dans le domaine de la sécurité. Ce dernier aurait permis le stockage des mots de passe d'utilisateurs en clair. 330 millions d’abonnés sont concernés et le réseau invite vivement à changer de mot de passe.

Twitter joue la carte de la transparence et de la prévention en cette fin de semaine. Le réseau de microblogging a dévoilé avoir découvert une faille de sécurité importante dans l’infrastructure de son site, générée par un bug et qui dure depuis plusieurs mois.

Twitter invite ses utilisateurs à changer de mot de passe

En effet, un bug au niveau du système de hachage des mots de passe, aurait conduit le service à stocker les mots de passe en clair dans une base, avant d’appliquer le hachage (remplaçant du mot de passe par des chiffres et des lettres) … En gros, les mots de passe ont été stockés momentanément dans une configuration où ils étaient lisibles et ce n’est qu’après que le hachage a été appliqué.

Le petit oiseau bleu a déclaré : « Nous avons récemment découvert un bogue qui stockait des mots de passe non masqués dans un registre interne. Nous avons corrigé ce bogue et n’avons pas d’indication sur le fait qu’il y ait eu une intrusion ou une utilisation frauduleuse par qui que ce soit ».

Le réseau a indiqué depuis : « Nous avons corrigé le bug, et notre enquête ne montre aucune indication de violation ou d’abus de quiconque », ajoutant : « Nous sommes vraiment désolés que cela soit arrivé ».

Twitter souligne donc qu’il n’y a eu aucune intrusion, ni vol, le risque de piratage est donc faible, mais comme les mots de passe se sont retrouvés en clair, il est plus prudent d’en changer… 330 millions d’abonnés sont concernés. Un excès de précaution qui est plutôt bienvenu, car par le passé certains géants n’avaient pas eu les mêmes réflexes après des piratages, on pense notamment à Yahoo!

Un problème au niveau du processus de hachage des mots de passe

Sur le blog de l’entreprise, Twitter a précisé que la firme «masque les mots de passe à travers un processus de hachage en utilisant une fonction baptisée bcrypt, qui remplace le mot de passe réel par une série aléatoire de chiffres et de lettres qui sont stockés dans le système de Twitter », ajoutant : « Cela permet à nos systèmes de valider votre compte sans révéler votre mot de passe, ce qui est une norme de l’industrie ».

Le blog poursuit : « En raison d’un bogue, les mots de passe ont été inscrits dans un registre interne avant d’être soumis au processus de hachage. Nous avons nous-mêmes trouvé l’erreur, supprimé les mots de passe et mettons des mesures en place pour que ce bogue ne se reproduise pas ».

Vous êtes donc prévenus !