Pourquoi Twitter a demandé hier soir à tous ses utilisateurs de changer d'urgence leur mot de passe ?

330 millions de personnes sont concernées

Hier soir, le réseau social Twitter a demandé à ses 330 millions d’utilisateurs de changer d’urgence leur mot de passe. Le groupe a découvert une faille dans son propre service.

Dans un tweet, la firme américaine déclare : « Nous avons récemment découvert un bug qui stockait des mots de passe non masqués dans un registre interne. Nous avons corrigé ce bug et n'avons pas d'indication sur le fait qu'il y ait eu une intrusion ou une utilisation frauduleuse par qui que ce soit. »

Ainsi, pour éviter de futures fraudes, Twitter conseille à ses utilisateurs de changer leur mot de passe « par mesure de précaution. »

Comment fonctionne le système de cryptage de mot de passe de Twitter ? Le groupe explique qu’il « masque les mots de passe à travers un processus de hachage en utilisant une fonction baptisée bcrypt, qui remplace le réel mot de passe par une série aléatoire de chiffres et de lettres qui sont stockés dans le système de Twitter. […] Cela permet à nos systèmes de valider votre compte sans révéler votre mot de passe, ce qui est une norme de l'industrie. »

Or, un bug a stocké les mots de passe tels quels, sans les crypter au préalable, dans un registre interne. Quiconque ayant accès à ce registre aurait pu voler les informations. L’entreprise rassure : « Nous avons nous-mêmes trouvé l'erreur, supprimé les mots de passe et mettons des mesures en place pour que ce bug ne se reproduise pas. »

Le groupe se dit être « profondément désolé. […] Nous reconnaissons et apprécions la confiance que vous nous accordez et nous nous engageons à mériter chaque jour cette confiance. »