Normalement, les données personnelles sensibles comme les mots de passe sont stockées sous forme hachée à l'aide d'un mélange de lettres et de chiffres pour protéger le contenu du mot de passe lui-même.
Or, suite à un bug, il semble que Twitter a stocké des mots de passe en texte brut ouvertement sans aucun hachage sur un journal interne.
Twitter a donc accidentellement et momentanément stocké un tas de mots de passe en texte brut, et donc sous une forme déchiffrée et utilisable par n’importe qui.
Pour l’instant, il s’agirait juste d’une erreur interne, et tout est probablement rentrer dans l’ordre mais vous devriez probablement changer votre mot de passe Twitter maintenant. Sait-on jamais !
Twitter fait remarquer qu'il n'y a actuellement "aucune raison de croire que les informations des mots de passe ont quitté le système de Twitter ou que ces mots de passe non protégés ont été consultés par les pirates, mais le risque de l'inconnu demeure”
Twitter conseille donc aux aux utilisateurs de modifier leurs mots de passe par mesure de précaution.
Le canal officiel du support technique de Twitter a publié un Tweet indiquant que les utilisateurs peuvent changer leurs mots de passe comme une mesure de précaution.
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ— Twitter Support (@TwitterSupport) 3 mai 2018
D’ailleurs, en accédant à votre compte Twitter, vous avez dû voir cette alerte affichée :
Le Tweet de Twitter ne fournit pas beaucoup de détails, mais un billet de blog qui l'accompagnait a révélé que les développeurs ont trouvé un bug qui stocke les mots de passe "en clair" dans un journal interne.
Typiquement, Twitter utilise un algorithme de hachage appelé bcrypt pour remplacer les lettres et les chiffres dans votre mot de passe avec une chaîne de caractères absurde et sans aucun sens qui masque le mot réel.
Le hachage permet à vos informations d'identification d'être utilisées pour la connexion à Twitter et d'autres services, sans révéler votre mot de passe réels aux développeurs ou aux administrateurs système.
En raison d'un bug, les mots de passe ont été écrits dans un journal interne avant d'être hachés, exposant le mot de passe en clair aux développeurs de Twitter.
Twitter rapporte qu'il a repéré l'erreur lui-même, et ne semble pas avoir été piraté. Les représentants affirment également qu'ils mettent en œuvre des plans pour empêcher que ce genre de chose ne se reproduise.
Bien que Twitter n'oblige pas les utilisateurs à changer de mot de passe à ce stade, ce ne serait pas une mauvaise idée de le faire.
Comment changer votre mot de passe sur Twitter ?
- Connectez-vous à votre profil Twitter avec votre mot de passe actuel.
- Sur ordinateur : cliquez sur votre photo en haut à droite -> "Paramètres et confidentialité" -> Mot de passe
Sur mobile : faîtes glisser l’écran vers la droite -> tapez sur “Paramètres et confidentialité” plus bas dans la fenêtre -> Compte -> Mot de passe
- Vous saisissez votre Mot de passe actuel.
- Facultatif : Visitez le site https://passwordsgenerator.net/ pour créer un mot de passe fort.
- Cochez les cases comme dans l'image ci-dessous
- Cliquez sur le bouton "Generate Password"
- Copiez les caractères du champ "Your new password"
- Cochez les cases comme dans l'image ci-dessous
- Saisissez ou collez le mot de passe de Password Generator dans le champ "Nouveau mot de passe" sur Twitter
- Saisissez à nouveau ou collez à nouveau le mot de passe dans le champ "Vérifiez le mot de passe"
- Cliquez sur le bouton "Enregistrer les modifications".
- Sur la page de confirmation qui s'affiche, cliquez sur le bouton "Examiner les applications" si vous vous êtes connectés à d'autres comptes sociaux avec vos identifiants Twitter.
Si vous n'avez aucun compte social à révoquer, visitez les applications affichées (via mobile ou ordinateur) pour renouveler la connexion avec Twitter.
Si vous utilisez aussi l'appli Twitter, vous aurez sans doute (si vous rebooter votre mobile) à y changer votre mot de passe Twitter avec le nouveau mot de passe que vous avez certainement noté.
N'utilisez pas un mot de passe que vous avez utilisé ailleurs. Mais si vous avez utilisé votre mot de passe Twitter ailleurs, vous devrez penser à le changer sur ces services, aussi.
Cela ne devrait pas vous forcer à vous connecter à nouveau sur chaque appareil, et vous n'aurez pas besoin de passer par l'authentification en 2 temps, même si vous l’avez mise en place.
Si vous n'avez pas l’authentification en deux facteurs, pensez-y maintenant. Certes la sécurité zéro n’existe pas, mais cela vous rendra moins vulnérable en ligne.
