Twitter a rapporté jeudi (3) qu’une faille de sécurité a mis à nu les mots de passe d’un nombre important d’utilisateurs : elle a permis de stocker les combinaisons en texte clair dans un registre interne. Rien ne prouve que le bogue ait été exploité, mais le réseau social recommande à chacun de changer son mot de passe.
Comme l’exigent les bonnes pratiques de sécurité, les mots de passe des utilisateurs de Twitter ne sont pas stockés en texte clair dans la base de données. Au lieu de cela, ils passent par une technique connue sous le nom de hachage : leur mot de passe original passe par des calculs mathématiques et devient un ensemble de lettres et de chiffres aléatoires ; il n’est pas possible d’obtenir aussi facilement le mot de passe original à partir du hachage. Dans le cas de Twitter, l’algorithme utilisé est bcrypt.
Mais Twitter a découvert qu’en raison d’un bug, les mots de passe étaient enregistrés dans un journal interne avant de terminer le hachage. En théorie, si une personne malveillante a accès à ce journal, elle peut voir le mot de passe de chaque utilisateur de Twitter. Et, comme nous le savons bien, beaucoup de gens ont encore la (terrible) habitude de réutiliser le même mot de passe dans différents services, ce qui aggrave le problème.
Le communiqué officiel de Twitter est un peu vague, ne rendant pas compte de l’ampleur du problème. Reuters rapporte que le nombre d’utilisateurs touchés était “substantiel” et que les mots de passe sont restés exposés pendant “plusieurs mois”. Le bogue a été découvert par le réseau social lui-même il y a quelques semaines et signalé à certaines autorités.
Le réseau social recommande aux utilisateurs de changer leur mot de passe sur Twitter et sur tout autre service ayant le même mot de passe ; de ne pas réutiliser la même combinaison dans d’autres services ; de permettre une vérification en deux étapes et d’installer un gestionnaire de mots de passe pour avoir des mots de passe uniques et forts sur tous les comptes.
