Les problèmes de sécurité de Twitch ont commencé bien avant le piratage de cette semaine, de mauvaises pratiques de sécurité ont rendu la violation inévitable selon d’anciens employés

Une brèche de sécurité massive chez Twitch a révélé une mine d’informations concernant le code source du site Web, des projets inédits et même combien gagnent les meilleurs streamers. Alors que les analystes de données et les journalistes s’efforcent de déchiffrer ce que contiennent exactement les centaines de gigaoctets d’informations, d’autres se demandent encore comment cela s’est produit.

Une telle brèche semblait de plus en plus probable pour certains. Plusieurs sources ont affirmé que, pendant leur séjour chez Twitch, la société a privilégié la vitesse et le profit à la sécurité de ses utilisateurs et à la sécurité de ses données.

Cette violation de données, que Twitch attribue à une erreur de configuration de serveur, est la dernière d’une série de problèmes de sécurité et de modération qui ont affecté la plateforme de streaming propriété d’Amazon. En août, des raids haineux au cours desquels des streamers marginalisés ont été soumis à un nombre incontrôlable de bots diffusant des discours haineux ont éclaté sur Twitch.

Les streamers se sont regroupés pour créer le hashtag #twitchdobetter et ont organisé une grève le 1er septembre pour attirer l’attention sur le problème et inciter Twitch à déployer des mesures de sécurité pour endiguer la vague de haine. En réponse, Twitch a reconnu les plaintes des streamers, a exhorté à la patience et a promis qu’il travaillait sur des outils qui aideraient à mieux protéger les streamers et leurs communautés.

« Nous avons vu beaucoup de conversations sur les bots, les raids haineux et d’autres formes de harcèlement ciblant les créateurs marginalisés. Vous nous demandez de faire mieux, et nous savons que nous devons faire plus pour résoudre ces problèmes. Cela inclut un dialogue ouvert et continu sur la sécurité des créateurs », a déclaré Twitch dans sa réponse.

Mais les raids haineux ne sont pas apparus soudainement cet été et, selon un ancien employé de Twitch, des alarmes ont été émises concernant les abus potentiels des raids bien avant que l’explosion en août.

Une source, qui a parlé aux médias sous couvert d’anonymat, a travaillé chez Twitch de 2017 à 2019. Elle a décrit une atmosphère où les employés étaient très préoccupés par la sécurité mais la direction moins. « Il y aurait des questions et un mécontentement constants concernant les échecs réguliers de la modération », a déclaré la source, expliquant que la direction répondrait à ce mécontentement « très lentement ».

Dans un forum d’aide, Twitch explique : « Grâce aux raids, vous pouvez envoyer vos spectateurs sur une autre chaîne à la fin de votre stream. Les raids sont un excellent moyen de créer des liens et de vous mettre en relation avec d’autres streamers en partageant vos audiences et en faisant croître vos communautés. Un raid envoie tous les spectateurs sur la page de votre chaîne au moment du raid sur la chaîne cible. Si vous n’êtes pas en ligne au moment du raid, votre chaîne hébergera également la chaîne cible ».

Mais un ancien employé de Twitch affirme qu’en interne, cette fonctionnalité a été vue comme étant un vecteur potentiel de harcèlement uniquement en raison de leur nom et que l’équipe a dû se précipiter pour sécuriser la fonctionnalité avant sa mise en ligne. La source caractérise Twitch comme un endroit avant tout concerné par les résultats. S’il ne générait pas de revenus, alors il n’était pas aussi apprécié.

Une autre source a déclaré que Twitch avait régulièrement choisi de ne pas divulguer les problèmes de sécurité auxquels il était confronté. Un problème de sécurité non signalé est survenu en 2017, selon la source, et a ouvert la plateforme à de nouveaux risques.

Les escrocs auraient pu contacter des streamers pour demander le partage des revenus des abonnements Twitch Prime, et la source affirme que cela a conduit à la connexion de comptes Twitch à des comptes Amazon compromis.

La source note que les attaquants peuvent désormais voir les raccourcis et les API des services internes d’Amazon grâce à cette fuite. Parce que Prime Gaming d’Amazon offre des revenus aux streamers via des abonnements, la source prévient qu’il pourrait s’agir d’un nouveau vecteur d’attaque pour les hackers visant à gagner de l’argent.

De nombreuses sources décrivent Twitch comme une entreprise qui fait « semblant » d’être préoccupée par la sécurité, étant donné qu’elle ne joint pas la parole aux actes. Alors qu’Amazon possède Twitch, le service de streaming a eu le contrôle total de sa pile technologique. Cela signifie que Twitch utilise de nombreux services tiers qu’Amazon a traditionnellement évités. Twitch était sur Slack avant qu’Amazon ne l’adopte finalement, et deux sources affirment que Twitch a eu du mal à effectuer des audits efficaces sur les logiciels et les outils qu’il utilisait dans le passé.

La même source affirme qu’on leur a également demandé « d’approuver et d’examiner des documents » des mois après avoir quitté Twitch.

Tout cela donne l’image d’un type d’environnement désordonné où une erreur de configuration, comme celle qui s’est produite cette semaine, semblait inévitable. Twitch a subi un certain type de problème de sécurité en 2015, ce qui a conduit à un accès non autorisé sur certains comptes. Cette nouvelle violation a exposé une quantité massive de données internes à Internet, ne laissant à Twitch d’autre choix que de s’en occuper publiquement.

Twitch s’efforce maintenant de déterminer exactement la quantité de données qui a fuité : « Alors que l’enquête est en cours, nous sommes toujours en train de comprendre l’impact en détail », a expliqué Twitch. Tandis que Twitch enquête, des centaines ou des milliers de personnes se donnent pour mission de décortiquer les données publiées.

Sources : Twitch (raid), Twitch (twitter), Twitch (communiqué au sujet de la violation de données)

Tiri

Je suis un développeur web qui cherche à résoudre les problèmes du monde réel. J'ai la passion d'apprendre et de partager mes connaissances avec les autres, aussi publiquement que possible.