Twitter vient de demander à plus de 300 millions d’utilisateurs de réinitialiser leurs mots de passe, citant l’exposition des mots de passe des utilisateurs via un bogue qui stockait les mots de passe en texte brut – sans les protéger avec une sorte de technologie de cryptage qui masquerait le véritable mot de passe d’un utilisateur de Twitter. Le géant des médias sociaux affirme avoir corrigé le bogue et que jusqu’à présent, son enquête n’a révélé aucun signe d’infraction ou que quiconque a abusé des informations. Mais si vous avez un compte Twitter, veuillez changez le mot de passe de votre compte maintenant.
Ou si vous ne faites pas confiance aux liens dans des blogs comme celui-ci (je comprends), allez sur Twitter.com et changez-le à partir de là. Et puis revenez et lisez le reste de ceci. Nous attendrons.
Dans un post sur son blog d’entreprise cet après-midi, Twitter CTO Parag Agrawal a écrit:
« Lorsque vous définissez un mot de passe pour votre compte Twitter, nous utilisons une technologie qui le masque afin que personne dans l’entreprise ne puisse le voir. Nous avons récemment identifié un bogue qui stockait les mots de passe non masqués dans un journal interne. Nous avons corrigé le bogue et notre enquête ne montre aucune indication de violation ou d’utilisation abusive par qui que ce soit.
Un message posté cet après-midi (et toujours présent sous forme de pop-up) avertit tous les utilisateurs de changer leurs mots de passe.
« Par prudence, nous vous demandons d’envisager de changer votre mot de passe sur tous les services où vous avez utilisé ce mot de passe. Vous pouvez modifier votre mot de passe Twitter à tout moment en accédant à la page des paramètres de mot de passe.
Agrawal explique que Twitter masque normalement les mots de passe des utilisateurs grâce à une technologie de cryptage de pointe appelée « bcrypt», qui remplace le mot de passe de l’utilisateur par un ensemble aléatoire de chiffres et de lettres qui sont stockés dans le système de Twitter.
« Cela permet à nos systèmes de valider les informations d’identification de votre compte sans révéler votre mot de passe », a déclaré Agrawal, qui affirme que la technologie qu’ils utilisent pour masquer les mots de passe des utilisateurs est la norme de l’industrie.
« En raison d’un bogue, les mots de passe ont été écrits dans un journal interne avant de terminer le processus de hachage », a-t-il poursuivi. « Nous avons trouvé cette erreur nous-mêmes, supprimé les mots de passe et mettons en œuvre des plans pour empêcher que ce bogue ne se reproduise. »
Agrawal a écrit que bien que Twitter n’ait aucune raison de croire que les informations de mot de passe aient jamais quitté les systèmes de Twitter ou aient été utilisées à mauvais escient par quiconque, la société exhorte toujours tous les utilisateurs de Twitter à réinitialiser leurs mots de passe MAINTENANT.
Une lettre à tous les utilisateurs de Twitter publiée par Directeur technique de Twitter Parag Agrawal
Twitter conseille :
-Changez votre mot de passe sur Twitter et sur tout autre service où vous avez utilisé le même mot de passe.
-Utilisez un mot de passe fort que vous ne réutilisez pas sur d’autres sites Web.
–Activer la vérification de connexion, également appelée authentification à deux facteurs. Il s’agit de la meilleure action que vous puissiez entreprendre pour augmenter la sécurité de votre compte.
-Utilisez un gestionnaire de mots de passe pour vous assurer que vous utilisez partout des mots de passe forts et uniques.
Cela peut faire beaucoup de bruit pour ne rien divulguer par prudence, ou une enquête plus approfondie peut révéler des résultats différents. Peu importe pour le moment : si vous êtes un utilisateur de Twitter et si vous n’avez pas encore suivi mon conseil pour aller changer votre mot de passe, allez-y maintenant ! C’est-à-dire si vous le pouvez.
Twitter.com semble réactif maintenant, mais pendant un certain temps jeudi après-midi, Twitter a eu des problèmes pour afficher de nombreux profils Twitter, ou même sa page d’accueil. Il y a quelques instants, j’ai essayé de visiter la page de profil du CTO de Twitter et j’ai obtenu ceci (idem pour Twitter.com):
Ce que BreachTrace et d’autres utilisateurs de Twitter ont obtenu lorsque nous avons essayé de visiter twitter.com et la page de profil du CTO de Twitter tard dans l’après-midi HE le 3 mai 2018.
Si, pour une raison quelconque, vous ne pouvez pas accéder à Twitter.com, réessayez bientôt. Mettez-le sur votre liste de tâches ou votre calendrier dans une heure à partir de maintenant. Sérieusement, faites-le maintenant ou très bientôt.
Et veuillez ne pas utiliser un mot de passe que vous avez utilisé pour tout autre compte que vous utilisez en ligne, que ce soit dans le passé ou dans le présent. Une liste non exhaustive (note personnelle) de quelques conseils sur les mots de passe est ici.
J’ai envoyé des questions plus spécifiques sur cet incident à Twitter. Plus de mises à jour disponibles.
Mise à jour, 20 h 04 HE : Je suis allé réinitialiser mon mot de passe sur Twitter et il a dit que mon nouveau mot de passe était fort, mais quand je l’ai soumis, j’ai été conduit à une page morte. Mais après s’être reconnecté sur twitter.com, le nouveau mot de passe a fonctionné (et l’ancien ne fonctionnait plus). Ensuite, il m’a invité à entrer le code à usage unique de l’application (vous avez Configuration à 2 facteurs sur Twittern’est-ce pas ?) Le mot de passe a été modifié avec succès !