Si vous êtes sur Twitter, changez votre mot de passe
C’est par la voix de son directeur technique Parag Agrawal que Twitter a annoncé la nouvelle sur son blog mardi 3 mai 2018. Les premiers mots ont été repris dans un message à l’adresse des usagers du réseau social qui se sont connectés pour la première fois depuis :
« quand vous définissez un mot de passe pour votre compte Twitter, nous utilisons une technologie afin de le masquer, de telle sorte que personne ne puisse le voir. Nous avons récemment identifié un bug : les mots de passe étaient stockés non masqués dans un journal interne. Nous avons corrigé ce bug, et notre enquête ne montre ni violation ni usage inapproprié. Toutefois, pour plus de sûreté, nous vous invitons à modifier votre mot de passe sur tous les services où vous l'avez utilisé ».
De la transparence pour maintenir la confiance et communiquer
Contrairement au service web d'hébergement et de gestion de développement de logiciels GitHub qui a fait face au même problème il y a quelques jours, Twitter a joué le jeu de la transparence. Il faut dire qu’en ces temps troublés en matière de cybersécurité, il est recommandé de maintenir au maximum la confiance des internautes dans la mesure du possible.
Cela permet à l’entreprise de communiquer sur ses pratiques dans le domaine de la sécurité. Et de montrer qu’elle respecte les standards recommandés notamment par la Commission Nationale Informatique et Libertés (CNIL). En effet, celle-ci considère comme une « mesure de sécurité élémentaire » le fait de ne jamais stocker les mots de passe en clair. Autrement dit, ces derniers ne doivent pas être conservés tel quel par les services auxquels se connectent les utilisateurs. Les développeurs doivent recourir à un algorithme pour transformer le password en une « empreinte » qui est ensuite stockée dans la base de données (on parle de « hachage »). Lorsque vous vous connectez au site, vous entrez votre mot de passe dont le site calcule l’empreinte qui est alors comparée à celle qui se trouve dans la base de données. En cas de bug ou de fuite, votre mot de passe est protégé.
Hygiène de vie numérique
C’est exactement la façon dont procède Twitter en recourant à un algorithme de hachage appelé « bcrypt ». Sauf qu’en l’espèce, un bug a entraîné l’écriture des mots de passe en clair dans le journal interne avant que le processus n’aille à son terme. L’entreprise de San Francisco s’en est rendue compte. Elle a supprimé les mots de passe. Elle a pris des mesures pour que ce type d’événements ne se reproduise plus.
L’affaire est-elle close pour autant ? Twitter se veut rassurant. « Nous n’avons aucune raison de croire que des informations de mot de passe aient quitté les systèmes de Twitter ou aient été détournées par quiconque ». Pour autant, la plateforme donne quelques conseils pour garder son compte en sécurité. Ils relèvent des bonnes pratiques d’hygiène de vie numérique déjà évoquées par Myjalis. Il s’agit d’utiliser des mots de passe longs comprenant des lettres minuscules, majuscules, des chiffres et des caractères spéciaux. En d’autres termes, si, comme le commun des mortels, vous avez l’habitude de vous connecter avec « azerty », « 123546 » ou même « dragon » (si on en croit une étude de la société de sécurité Splashdata), il faut changer à tout prix votre mot de passe. En outre, ce dernier doit être unique à chaque service ou application auquel vous vous connectez. Pour vous faciliter la tâche, il est recommandé d’employer un gestionnaire de mot de passe. Enfin, il convient d’activer la double authentification.
Il faut d’autant plus se tenir à cette hygiène qu’en 2018, des sites continuent de stocker des mots de passe en clair, à l’instar du journal les Échos.
Article de Thierry Randretsa
