Piratage de Twitch: les auteurs voulaient renforcer « la concurrence dans le secteur du streaming vidéo en ligne »

Bien qu’il soit question d’une fuite massive de données, à l’image de ce qu’a connu Facebook à plusieurs reprises, le leak de Twitch se démarque des autres piratages des grandes plateformes sociales, et ce, en grande partie parce que la cible, ici, c’est Twitch et non les utilisateurs ni l’argent.

Pourquoi est-ce important ?

Un dossier comprenant 128 giga de données relatives à Twitch et à ses utilisateurs a été posté sur le forum controversé 4Chan. Un dossier compressé comprenant plus de 3 millions de fichiers qui ne serait que la première partie d’un tout beaucoup plus imposant encore, selon les auteurs de la fuite. La deuxième partie – si elle existe – pourrait contenir des informations confidentielles concernant les utilisateurs de Twitch. En prévision, vous pouvez modifier votre mot de passe et activer l’authentification à double facteur.

Ce mercredi 6 octobre, la twittosphère a eu un nouveau scandale à se mettre sous la dent. Grâce à l’exploitation d’une faille au sein de Twitch, les internautes ont pu découvrir les salaires des plus gros streamers de la plateforme. On a ainsi découvert que certains ont gagné plusieurs millions de dollars en deux ans grâce à Twitch. Il n’en fallait pas plus pour déchainer les passions sur le réseau social, de sorte qu’on en a presque oublié le principal : la plus grande plateforme de streaming vidéo en direct a été victime d’une fuite de données de grande envergure.

Un leak massif qui n’avait pas pour objectif d’extorquer de l’argent à Twitch ni même de pirater le compte des utilisateurs et de les faire chanter, mais bien de perturber la plateforme et son fonctionnement jusqu’à la moelle.

La cible: Twitch

Le leak est en effet de taille. Le dossier partagé sur le forum 4Chan pèse pas moins de 128 giga et pourrait être beaucoup plus imposant encore. Les pirates à l’origine de la fuite ont en effet indiqué que ce dossier n’était que la première partie des données volées à Twitch. Parmi ces quelque 3 millions de fichiers, on compte :

  • Des informations sur les montants perçus par les streamers depuis août 2019
  • Une partie voire l’intégralité du code source de la plateforme, ainsi que d’autres logiciels d’Amazon liés à Twitch
  • Une partie ou l’intégralité du code source des clients (les applications) de Twitch sur Android, iOS et PC
  • Les outils de développement utilisés en interne, ainsi que des outils utilisés pour tester la sécurité de la plateforme
  • Des informations concernant le projet Vapor d’Amazon, une plateforme censée venir concurrencer Steam
  • Des informations sur les mécanismes de stockage et d’authentification de Twitch

S’il lui a fallu du temps pour réagir, Twitch s’est finalement décidé à commenter la fuite, en tentant d’en minimiser l’ampleur. « Nous avons appris que certaines données ont été exposées à Internet en raison d’une erreur dans un changement de configuration du serveur Twitch auquel un tiers malveillant a ensuite accédé. Nos équipes travaillent de toute urgence pour enquêter sur l’incident », a ainsi indiqué la plateforme.

L’enquête est toujours en cours, mais Twitch recommande tout de même à ses utilisateurs de modifier leur clé de stream. « Pour le moment, nous n’avons aucune indication que les identifiants de connexion ont été exposés », rassure tout de même le service. Il faudra certainement encore patienter plusieurs jours avant d’en apprendre plus du côté de Twitch.

Objectif: lui nuire

Les hackers – l’auteur de la publication sur 4Chan a utilisé le pronom « nous », le piratage pourrait donc être le fait de plusieurs personnes – ont accompagné le document d’un message expliquant leur démarche : « Leur communauté [à Twitch et Amazon] est un cloaque toxique dégoûtant. Alors, pour favoriser la perturbation et la concurrence dans le domaine du streaming vidéo en ligne, nous les avons complètement ‘compromis’ » (« pwned », en anglais).

Un discours plus ou moins louable qui fait référence aux nombreuses critiques dont fait régulièrement l’objet Twitch concernant l’atmosphère particulièrement malsaine qu’il y règne parfois, mais aussi de la toxicité de sa communauté. Mais le message indique surtout que l’objectif de cette fuite était bel et bien de s’en prendre à Twitch et de lui nuire. D’ailleurs, au lieu de faire pression sur Amazon – propriétaire de la plateforme – pour ne pas divulguer les informations volées, les auteurs du leak ont préféré les poster en accès libre sur un forum très populaire : 4Chan. Un choix qui n’a rien d’anodin.

La modération est en effet très légère, voire inexistante, sur ce site. Il échappe également à toute forme de régulation. La publication des auteurs de la fuite devrait donc rester active encore longtemps, de quoi permettre au plus grand nombre d’acquérir le dossier.

Ce dernier a déjà été téléchargé plus de 2.000 fois et son lien de téléchargement a également été partagé sur de nombreux autres sites. Difficile d’imaginer que des personnes malveillantes ne soient pas déjà en train d’essayer d’exploiter les informations qu’il renferme.

La diffusion du code source de Twitch pourrait lui être particulièrement préjudiciable. Ses concurrents pourraient en effet être tentés de l’étudier et de copier les passages qui jouent en sa faveur, mais le code source de Twitch pourrait également intéresser les cybercriminels. En se penchant dessus, ces derniers pourraient y déceler des failles de sécurité pour attaquer la plateforme dans un avenir plus ou moins proche. Et ces derniers ne seront certainement pas aussi cléments que les auteurs de la fuite. Ils pourraient en effet tenter de faire chanter les utilisateurs de Twitch voire Amazon directement.

Nul doute que les équipes de Twitch s’activent en interne pour tenter de comprendre ce qu’il s’est réellement passé, comment une telle intrusion a pu se faire, mais aussi déterminer l’ampleur des dégâts. Reste plus qu’à attendre la prochaine communication de la plateforme, mais aussi si les auteurs du leak ont bel et bien une deuxième partie à partager avec le public pour « tenter d’améliorer la concurrence sur le marché du streaming vidéo en direct. « 

À lire aussi:

Plus