E tu Twitter ? Le bug de mot de passe a un air de déjà vu

E tu Twitter ? Le bug de mot de passe a un air de déjà vu

Sécurité : Twitter a annoncé hier qu’une partie des mots de passe de ses utilisateurs avait été laissée accessible en clair et invite ses utilisateurs à changer leur mot de passe. Une faille extrêmement similaire à celle annoncée par Github la veille.

Dans un message sur son blog, Twitter a annoncé hier soir avoir découvert un bug au sein de son système ayant conduit à enregistrer certains mots de passe de ses utilisateurs en clair dans ses journaux d’enregistrement. Dans son annonce, Twitter se veut rassurant et rappelle qu’il ne s’agit pas d’une fuite de données à proprement parler : seuls les employés Twitter ont pu accéder aux mots de passe et le bug a depuis été corrigé.

Le réseau social recommande néanmoins aux utilisateurs de changer leur mot de passe, celui qu’ils utilisent ayant été exposé en clair, on peut difficilement le considérer comme sécurisé. Dans le doute, c’est une excellente occasion pour renouveler le mot de passe sur votre compte.

Certains l’auront néanmoins remarqué, les détails donnés par Twitter sur ce bug rappellent fortement celui dévoilé par Github un peu plus tôt dans la semaine. Github avait signalé un bug dans sa fonction de réinitialisation des mots de passe ayant là aussi exposé en clair plusieurs mots de passe de ses utilisateurs dans les logs. Ceux-ci n’étaient accessibles qu’à l’équipe interne de Github.

On peut donc légitimement se demander s’il n’y a pas de lien de cause à effet : l’annonce publique de Github ayant pu motiver les équipes de Twitter à revérifier leur propre système et à annoncer publiquement la faille de sécurité.

Les détails exacts de la faille n’ont pas été dévoilés par Twitter mais Reuters, qui cite des sources internes, explique que le nombre exact d’utilisateurs affectés serait conséquent et que les mots de passe en questions auraient été concernés pendant plusieurs mois. Au vu de la similarité entre ces deux incidents, on peut tout à fait imaginer que d’autres entreprises pourraient être affectées par un bug similaire.

En attendant, la meilleure attitude à adopter reste de changer son mot de passe comme le conseille l’équipe de support de Twitter et Mounir Mahjoubi, secrétaire d’État chargé du numérique. Dans un tweet, celui-ci profite de l’occasion pour conseiller aux utilisateurs de changer de mot de passe et pour rappeler à Twitter que « nos données personnelles valent mieux que ça. »

Une pique qui pourrait paraître un peu gratuit, mais le secrétaire d’État ne manque pas une occasion de rappeler à l’ordre les gros acteurs qui devront bientôt se conformer au règlement européen sur la protection des données.

On doit reconnaître que Twitter fait ici preuve de transparence pour un bug somme toute assez mineur, mais ce genre d’annonce n’est jamais une bonne nouvelle pour des entreprises de cette ampleur : comme le montre Reuters, la simple annonce de cette faille de sécurité a suffi pour faire chuter le cours de l’action Twitter de 1%. La transparence n’est pas une panacée et les erreurs se paient cash.

Source : Zdnet News

Partager cette publication

Laisser un commentaire