Twitter recommande à ses utilisateurs de changer de mot de passe
Suite à la découverte d'un bogue qui expose des mots de passe en clair

Le , par Patrick Ruiz, Chroniqueur Actualités
Si vous ouvrez votre compte Twitter après une longue période vous devriez tomber sur une alerte sécurité. Les responsables du réseau social recommandent aux utilisateurs de changer leurs mots de passe. La manœuvre fait suite à la découverte d’un bogue sur la plateforme.

« Le bug provoquait le stockage des mots de passe en clair dans un journal interne », indique le réseau social . D’après Twitter, le souci fait partie du passé et une enquête interne indique qu'« il n'y a pas eu de violations ou d'abus. »


Dans un billet de blog paru ce jeudi, Parag Agrawal – directeur technique du réseau social – en dit plus. Le CTO révèle que la plateforme fait usage de la fonction de hachage bcrypt pour remplacer les mots de passe par des « ensembles aléatoires de nombres et de lettres. » Seulement, à cause du bogue, «  les mots de passe étaient inscrits dans un log interne avant le terme du processus de hachage. »

La communication de Twitter n’est pas sans faire penser au cas GitHub relayé par l’éditeur en ligne The Daily Dot ce 2 mai. Ici également, les responsables de la plateforme signalent le stockage en clair des mots de passe de certains utilisateurs dans un journal interne.

« GitHub s’appuie sur les fonctions cryptographiques bcrypt pour le stockage des mots de passe des utilisateurs. Seulement, ce bogue a conduit au stockage en clair des mots de passe dans notre log interne au moment de leur réinitialisation par les utilisateurs », écrivait alors la plateforme d’hébergement et de gestion de développement des logiciels.

Pas plus de détails de la part des deux entreprises à propos desdits bugs. Toutefois, si l’on s’appuie sur le fait que, de façon générale, les bogues résultent d’erreurs dans le code qui assure la gestion d’un système, alors on sait dire que le problème ici se trouve entre la chaise et le clavier ; probablement des programmeurs qui, par inattention, ont laissé filer une erreur de configuration des journaux d’événements – des listes de toutes les requêtes livrées par un serveur à des clients.

Il suffit en effet que des logs de requêtes contenant des paramètres POST soient créés et que le programmeur oublie de supprimer les champs de requêtes HTTP qui contiennent les mots de passe pour que des cas comme ceux-ci se produisent. Les contenus des forums reddit liés aux cas GitHub et Twitter sont révélateurs du fait que bon nombre de développeurs reconnaissent avoir commis des erreurs similaires.

Source : blog

Et vous ?

Qu’en pensez-vous ?

Qu’est-ce qui peut mener à des comportements erratiques de ce type dans un système ?

Avez-vous déjà eu des cas similaires à gérer ? Partagez vos anecdotes.

Voir aussi

GitHub : des chercheurs estiment que plus de la moitié des codes écrits en Java, Python, C/C++ et JavaScript, sont dupliqués

GitHub survit à la plus grosse attaque par déni de service distribué jamais enregistrée, et menée sans réseau de zombies

GitHub utilisé par des acteurs malveillants pour héberger un mineur de moneros, distribué au travers d'une campagne publicitaire


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil