Fuite de données mercredi, défiguration de site le vendredi : la semaine passée a été plutôt désagréable pour le service de streaming live Twitch. Comme l’ont rapporté plusieurs médias et utilisateurs, des attaquants sont parvenus à modifier l’image de fond du site web de streaming afin d’afficher une photo de Jeff Bezos, le fondateur et ex-dirigeant d’Amazon. Une attaque de défacement de site web qui pourrait avoir plusieurs origines différentes : des attaquants ayant conservé un accès aux serveurs de Twitch suite à la fuite de données initiale, ou qui sont parvenus à identifier dans les données diffusées un identifiant d’accès ou une API interne qui pouvait être utilisée pour modifier l’apparence du site web.
L’image était la même que celle utilisée sur 4chan pour annoncer la fuite de données mercredi, mais on ne sait pas si les auteurs de cette modification sont les mêmes que ceux à l’origine de la fuite de données de mercredi. La modification s’est affichée sur les pages relatives aux différents jeux vidéo diffusés par la plateforme. Les équipes de Twitch ont corrigé le problème dans la journée de vendredi en supprimant les images de fond sur les pages affectées. L’affichage normal des images n’a pas été rétabli depuis.
Tirer le bilan
Dans une annonce hier, Twitch a indiqué avoir réinitialisé l’ensemble des clés de streaming des utilisateurs de sa plateforme. Ces clés sont des codes uniques qui permettent de connecter un logiciel de streaming, type OBS, à un canal de diffusion sur la plateforme Twitch. Cette dernière avait annoncé leur réinitialisation mercredi dernier, dans un e-mail envoyé aux streamers, et a communiqué sur ce sujet de manière publique dans la journée d’hier, via une mise à jour de son post de blog consacré à l’incident.
Sur son blog, Twitch indique être toujours en train d’analyser les données ayant fuité suite à l’incident. La société rappelle ainsi que les données de carte de crédit ne sont pas conservées sur sa plateforme, mais sur un service tiers, et qu’elles sont donc hors de portée d’une fuite de données. Le communiqué indiquait également la semaine dernière que « pour le moment, rien ne semble nous indiquer que les identifiants de connexion ont été révélés ». Pour l’instant, l’archive ne semble donc pas contenir les mots de passe des comptes utilisateurs et Twitch n’a pas déclenché de réinitialisation massive des mots de passe sur la plateforme, laissant penser que les mots de passe n’ont pas été affectés.
Sur l’origine de la fuite, Twitch indique que celle-ci est liée à « une erreur dans un changement de configuration de serveur Twitch auquel un tiers malveillant a ensuite eu accès », sans donner beaucoup plus de détails pour l’instant.
L’archive diffusée contient de nombreux codes sources, projets internes et données relatives à la plateforme. Des chercheurs indépendants se sont penchés sur l’analyse des données diffusées par les attaquants, et la plupart de ceux interrogés estiment que les données correspondent bien aux fichiers indiqués dans le post 4chan annonçant la fuite.
