Le code source de Twitch, les gains des streamers et des outils internes ont fuité en ligne.
Twitch a confirmé avoir subi la violation de données suite à un changement de configuration
Twitch a confirmé avoir subi une violation de données majeure et qu'un hacker a eu accès aux serveurs de l'entreprise suite à un changement de configuration. « Nous pouvons confirmer qu'une violation a eu lieu », a déclaré un porte-parole de Twitch sur Twitter. « Nos équipes travaillent de toute urgence pour comprendre l'ampleur de cette situation. Nous mettrons à jour la communauté dès que des informations supplémentaires seront disponibles. »
Dans un billet, Twitch a admis qu'un hacker a pu accéder à des données qui ont été exposées par erreur sur Internet :
« Nous avons appris que certaines données ont été exposées sur Internet en raison d'une erreur dans un changement de configuration du serveur Twitch auquel un tiers malveillant a ensuite accédé. Nos équipes travaillent de toute urgence pour enquêter sur l'incident.
Comme l'enquête est en cours, nous sommes toujours en train de comprendre l'impact en détail. Nous comprenons que cette situation suscite des inquiétudes, et nous souhaitons en traiter ici pendant que notre enquête se poursuit.
Pour le moment, nous n'avons aucune indication que les identifiants de connexion ont été exposés. Nous continuons d'enquêter.
De plus, les numéros de carte de crédit complets ne sont pas stockés par Twitch, de sorte que les numéros de carte de crédit complets n'ont pas été exposés ».
Les données de cette fuite sont proposées dans un fichier torrent, qui circulait entre autres sur l'imageboard 4chan. L’archive en question pèse plus de 135 Go et est partagée dans des sections spécifiques du site 4chan. L'utilisateur qui l'a publié a déclaré que la fuite était destinée à « susciter plus de disruption et de compétition dans le monde de la diffusion de vidéo en direct », arguant que « la communauté [de Twitch, NDLR] est un cloaque toxique dégoûtant ».
VGC, qui a téléchargé l’archive, a attesté de la légitimité de son contenu, que voici résumée :
- la totalité du code source de Twitch ainsi qu’un historique de commentaires de développeurs remontant à ses tout débuts ;
- le relevé des paiements envoyés aux créateurs depuis 2019 ;
- les clients mobile, desktop et consoles de Twitch ;
- des kits de développements et services AWS utilisés par Twitch ;
- « toutes les autres propriétés que Twitch possède », y compris IGDB et CurseForge ;
- un hypothétique concurrent à Steam, au nom de code « Vapor », signé Amazon Game Studios ;
- des outils de hacking internes destinés à améliorer la sécurité de la plateforme.
Les revenus (sur 3 ans) de plus de 10 000 streamers Twitch ont été publiés sur le net. Au moins un streameur français, Zerator, a confirmé la véracité des chiffres qui circulent. Les sommes indiquées ont été depuis compilées dans plusieurs listes, et publiées sur les réseaux sociaux par de nombreux utilisateurs. En voici une :
Les paiements bruts des 25 meilleurs streamers Twitch les mieux payés d'août 2019 à octobre 2021
Il s'agit de la liste des 100 streameurs les mieux rémunérés au monde sur la plateforme qui a été partagée sur Twitter par le streameur KnowSomething.
Il faut noter que les sommes affichées dans les tweets ne représentent pas ce que les streameurs touchent : il ne s’agit que du prix des abonnements que Twitch leur reverse, après que la plateforme ait prélevé sa commission. De plus, ces chiffres ne prennent en pas en compte les divers partenariats ou sponsoring que les streameurs et streameuses peuvent faire, les sommes qu’ils touchent avec le placement de produit ou encore les revenus complémentaires qu’ils peuvent avoir sur des sites comme Tipeee ou uTip.
D'ailleurs, sur un fil twitter, Zerator s'est chargé de l'expliquer :
« J'ai rarement reçu autant de mentions et de messages car on sait que l'argent fascine en France surtout quand il s'agit d'un domaine assez flou que celui des créateurs sur internet. Il n'y a qu'à voir le débat que tout le monde a eu quand Twitch a changé ses règles.
Dans un premier temps, puisque qu'aucun "gros" créateur ne vous le confirmera en France (je pense), OUI les chiffres du tableau ci-dessus sont vrais. Mais attention, c'est un chiffre d'affaires et non un bénéfice. Ce qui veut dire que cet argent n'est pas sur le compte en banque du créateur. Ça, la plupart d'entre vous le savent. Ensuite, ce chiffre ne représente pas tout ce que gagne un créateur comme vous vous en doutez puisqu'il y a aussi les opés, les sponsors, le merchandising, les "dons" (quand ils sont activés. Ce n'est pas mon cas à part les bits qu'on ne peut pas désactiver et qui représentent (personnellement) moins de 2 % de ce chiffre). Donc si vous étiez choqué du montant du tableau, voilà qui devrait vous faire tomber dans les pommes.
ENSUITE, en ce qui me concerne, je n'ai pas du tout honte de ce chiffre. J'ai dédié les 10 dernières années de ma vie au streaming et je n'ai toujours eu qu'un seul but : réaliser ce qui me plait tout en gagnant ma vie. J'ai la chance que ce soit possible, mais c'est un métier complexe et fluctuant (si vous voulez en savoir plus, allez voir ma vidéo Youtube "TWITCH DÉTRUIT LES PETITS STREAMERS ?"). La plupart des streamers ont le syndrome de l'imposteur dès qu'ils grossissent en stats car les viewers et l'opinion du métier veulent ça. Mais c'est un autre sujet. BREF. Dans mon cas personnel, mon aventure Twitch ne se limite pas à stream dans une pièce tout seul. La plupart des créateurs le font, je l'ai beaucoup fait et le fait encore (je ne blâme personne, c'est pour expliquer la suite), mais c'est quelque chose qui ne me suffit pas et j'aime bien créer des conneries, car c'est surtout ce qui me plait dans mon métier.
À ce titre, pour vous donner des fourchettes, dites-vous par exemple qu'une ZLAN coute plus de 400 000 €, qu'une TMCUP en coute plus de 500 000 € (probablement le double à Bercy) et que même si ces événements se financent aussi grâce au sponsoring (et parfois billetterie pour la TMCUP) je mets souvent de l'argent de ZTPROD pour ajouter des conneries ou stabiliser financièrement l'événement(et payer les gens !) car c'est aussi la plus-value de ma chaine : l’événementiel. Il est donc normal que "j'investisse" dans ce domaine. Quand vous soutenez ma chaine, vous soutenez mes événements, mes idées, mon studio, mes graphistes, mes monteurs...
UN POINT SUR L'ARGENT PERSO MAINTENANT, car c'est là tout le débat "Zera a gagné 1.4M en 2 ans" (non) : Encore une fois, à titre personnel j'ai eu la chance d'acquérir un bien immobilier en 2017 que je n'ai pas acheté "cash" ou que je n'ai pas encore "remboursé" à la banque, car je garde énormément d'argent sur le compte de l'entreprise. J'adore ce système, car dès qu'on a de la trésorerie ça me permet de dire à Dach "Hey ça te dit pas on fait un truc là ?" et on fonctionne comme ça depuis 2015 (depuis qu'on travaille ensemble). OUI je pourrais être à l’abri financièrement et m'acheter une Ferrari depuis quelques années, mais ce n'est pas (encore) le choix que j'ai fait ».
Les trois seules femmes qui figurent dans le top 100 des plus gros revenus de Twitch, entre septembre 2019 et octobre 2021, sont :
- Pokimane, à la 34e place, une streameuse de jeux vidéo ;
- Amouranth, à la 48e place, qui fait des séances d’ASMR et des stream jacuzzi ;
- et Sintica, à la 71e place, une DJ dont les lives sont focalisés sur la musique.
Une mise en bouche
La personne responsable de la fuite de données a par ailleurs indiqué qu’il ne s’agissait-là que d’une mise en bouche et que d’autres documents seraient prochainement mis en ligne. En effet, sur l’un des fils publiés sur 4chan, l’intitulé du titre annonce « twitch leaks part one ». Il n’est toutefois pas précisé quand la ou les prochaines divulgations surviendront ni ce qu’elles contiendront.
Des parties de l'archive divulguée sont vastes et contiennent de grands ZIP, et il peut s'écouler des jours avant que l'étendue complète de la violation ne soit comprise*:
Certains utilisateurs de Twitter ont commencé à parcourir les 125 Go d'informations qui ont fuité, l'un d'eux affirmant que le torrent comprend également des mots de passe cryptés et recommandant aux utilisateurs d'activer l'authentification à deux facteurs pour être sûrs, ce qui garantit que même si votre mot de passe est compromis, vous avez toujours besoin de votre téléphone pour prouver votre identité à l'aide d'un SMS ou d'une application d'authentification.
Notons que, dans sa déclaration, Twitch a précisé qu'il n'y avait « aucune indication » que les informations de connexion aient été exposées.
La quantité de données consultées par le hacker n'est pas définie. Tandis que Twitch a indiqué qu'il travaille pour avoir une meilleure compréhension de sa faille de sécurité, certains utilisateurs ont été invités à changer leurs mots de passe. Twitch a également réinitialisé toutes les clefs de flux sur son service. « Par prudence, nous avons réinitialisé toutes les clefs de flux », indique un e-mail à tous les streamers Twitch.
« Selon le logiciel de diffusion que vous utilisez, vous devrez peut-être mettre à jour manuellement votre logiciel avec cette nouvelle clef pour démarrer votre prochaine diffusion :
- les utilisateurs de Twitch Studio, Streamlabs, Xbox, PlayStation et Twitch Mobile App ne devraient pas avoir besoin de prendre des mesures pour que votre nouvelle clef fonctionne ;
- les utilisateurs d'OBS qui ont connecté leur compte Twitch ne devraient pas non plus avoir besoin de prendre des mesures. Les utilisateurs d'OBS qui n'ont pas connecté leur compte Twitch à OBS devront copier manuellement leur clef de flux à partir de leur tableau de bord Twitch et la coller dans OBS ;
- pour tous les autres, veuillez vous référer aux instructions de configuration spécifiques au logiciel de votre choix ».
La fuite de Twitch sera dommageable pour le service de streaming de jeux dans tous les cas et en particulier pour les créateurs qui comptent sur Twitch pour sécuriser leurs revenus et leurs informations. Le piratage fait suite à des semaines de protestation pour que Twitch améliore son service dans le cadre du mouvement #DoBetterTwitch. Les streamers de Twitch ont également pris un jour de congé en août pour protester contre le manque d'action de l'entreprise contre les raids haineux.
Pour mémoire, en 2014, Amazon a racheté Twitch pour près d’un milliard de dollars (970 millions de dollars) dans l'optique de profiter de l’expertise de Twitch afin d’étendre son empire sur l’univers du jeu vidéo.
« Diffuser et regarder des jeux vidéo est un phénomène mondial, et Twitch a construit une plateforme qui réunit des dizaines de millions de gens qui regardent des milliards de minutes de jeux chaque mois », a commenté Jeff Bezos dans un communiqué. « Nous espérons apprendre d'eux et les aider à créer plus rapidement de nouveaux services pour la communauté des joueurs » a-t-il continué.
Avec cette opération, Amazon a ravi une cible de Google qui avait été cité par le passé comme un candidat au rachat de Twitch. Emmett Shear, qui était à la tête de l'entreprise, a déclaré « nous avons choisi Amazon parce qu'ils partagent nos valeurs et notre vision à long terme [pour Twitch], et nous permettront d'aller plus vite pour atteindre nos objectifs. (...) Avec le soutien d'Amazon, nous aurons les ressources pour vous proposer un Twitch encore meilleur ».
Sources : blog Twitch, les paiements bruts des 100 meilleurs streamers Twitch les mieux payés d'août 2019 à octobre 2021, Zerator
Et vous ?
Quelle lecture en faites-vous ?
Êtes-vous un utilisateur de Twitch ? Avez-vous reçu un message vous demandant de modifier votre mot de passe ? Avez-vous activé l'authentification à deux facteurs ?
Que pensez-vous des données publiées ?
Partager