Discussion :

[Stéphane le calme]

Le code source de Twitch, les gains des streamers et des outils internes ont fuité en ligne.
Twitch a confirmé avoir subi la violation de données suite à un changement de configuration

Twitch a confirmé avoir subi une violation de données majeure et qu'un hacker a eu accès aux serveurs de l'entreprise suite à un changement de configuration. « Nous pouvons confirmer qu'une violation a eu lieu », a déclaré un porte-parole de Twitch sur Twitter. « Nos équipes travaillent de toute urgence pour comprendre l'ampleur de cette situation. Nous mettrons à jour la communauté dès que des informations supplémentaires seront disponibles. »

Dans un billet, Twitch a admis qu'un hacker a pu accéder à des données qui ont été exposées par erreur sur Internet :

« Nous avons appris que certaines données ont été exposées sur Internet en raison d'une erreur dans un changement de configuration du serveur Twitch auquel un tiers malveillant a ensuite accédé. Nos équipes travaillent de toute urgence pour enquêter sur l'incident.

Comme l'enquête est en cours, nous sommes toujours en train de comprendre l'impact en détail. Nous comprenons que cette situation suscite des inquiétudes, et nous souhaitons en traiter ici pendant que notre enquête se poursuit.

Pour le moment, nous n'avons aucune indication que les identifiants de connexion ont été exposés. Nous continuons d'enquêter.

De plus, les numéros de carte de crédit complets ne sont pas stockés par Twitch, de sorte que les numéros de carte de crédit complets n'ont pas été exposés ».

Les données de cette fuite sont proposées dans un fichier torrent, qui circulait entre autres sur l'imageboard 4chan. L’archive en question pèse plus de 135 Go et est partagée dans des sections spécifiques du site 4chan. L'utilisateur qui l'a publié a déclaré que la fuite était destinée à « susciter plus de disruption et de compétition dans le monde de la diffusion de vidéo en direct », arguant que « la communauté [de Twitch, NDLR] est un cloaque toxique dégoûtant ».

VGC, qui a téléchargé l’archive, a attesté de la légitimité de son contenu, que voici résumée :

• la totalité du code source de Twitch ainsi qu’un historique de commentaires de développeurs remontant à ses tout débuts ;
• le relevé des paiements envoyés aux créateurs depuis 2019 ;
• les clients mobile, desktop et consoles de Twitch ;
• des kits de développements et services AWS utilisés par Twitch ;
• « toutes les autres propriétés que Twitch possède », y compris IGDB et CurseForge ;
• un hypothétique concurrent à Steam, au nom de code « Vapor », signé Amazon Game Studios ;
• des outils de hacking internes destinés à améliorer la sécurité de la plateforme.

Les revenus (sur 3 ans) de plus de 10 000 streamers Twitch ont été publiés sur le net. Au moins un streameur français, Zerator, a confirmé la véracité des chiffres qui circulent. Les sommes indiquées ont été depuis compilées dans plusieurs listes, et publiées sur les réseaux sociaux par de nombreux utilisateurs. En voici une :

Les paiements bruts des 25 meilleurs streamers Twitch les mieux payés d'août 2019 à octobre 2021

Il s'agit de la liste des 100 streameurs les mieux rémunérés au monde sur la plateforme qui a été partagée sur Twitter par le streameur KnowSomething.

Il faut noter que les sommes affichées dans les tweets ne représentent pas ce que les streameurs touchent : il ne s’agit que du prix des abonnements que Twitch leur reverse, après que la plateforme ait prélevé sa commission. De plus, ces chiffres ne prennent en pas en compte les divers partenariats ou sponsoring que les streameurs et streameuses peuvent faire, les sommes qu’ils touchent avec le placement de produit ou encore les revenus complémentaires qu’ils peuvent avoir sur des sites comme Tipeee ou uTip.

D'ailleurs, sur un fil twitter, Zerator s'est chargé de l'expliquer :

« J'ai rarement reçu autant de mentions et de messages car on sait que l'argent fascine en France surtout quand il s'agit d'un domaine assez flou que celui des créateurs sur internet. Il n'y a qu'à voir le débat que tout le monde a eu quand Twitch a changé ses règles.

Dans un premier temps, puisque qu'aucun "gros" créateur ne vous le confirmera en France (je pense), OUI les chiffres du tableau ci-dessus sont vrais. Mais attention, c'est un chiffre d'affaires et non un bénéfice. Ce qui veut dire que cet argent n'est pas sur le compte en banque du créateur. Ça, la plupart d'entre vous le savent. Ensuite, ce chiffre ne représente pas tout ce que gagne un créateur comme vous vous en doutez puisqu'il y a aussi les opés, les sponsors, le merchandising, les "dons" (quand ils sont activés. Ce n'est pas mon cas à part les bits qu'on ne peut pas désactiver et qui représentent (personnellement) moins de 2 % de ce chiffre). Donc si vous étiez choqué du montant du tableau, voilà qui devrait vous faire tomber dans les pommes.

ENSUITE, en ce qui me concerne, je n'ai pas du tout honte de ce chiffre. J'ai dédié les 10 dernières années de ma vie au streaming et je n'ai toujours eu qu'un seul but : réaliser ce qui me plait tout en gagnant ma vie. J'ai la chance que ce soit possible, mais c'est un métier complexe et fluctuant (si vous voulez en savoir plus, allez voir ma vidéo Youtube "TWITCH DÉTRUIT LES PETITS STREAMERS ?"). La plupart des streamers ont le syndrome de l'imposteur dès qu'ils grossissent en stats car les viewers et l'opinion du métier veulent ça. Mais c'est un autre sujet. BREF. Dans mon cas personnel, mon aventure Twitch ne se limite pas à stream dans une pièce tout seul. La plupart des créateurs le font, je l'ai beaucoup fait et le fait encore (je ne blâme personne, c'est pour expliquer la suite), mais c'est quelque chose qui ne me suffit pas et j'aime bien créer des conneries, car c'est surtout ce qui me plait dans mon métier.

À ce titre, pour vous donner des fourchettes, dites-vous par exemple qu'une ZLAN coute plus de 400 000 €, qu'une TMCUP en coute plus de 500 000 € (probablement le double à Bercy) et que même si ces événements se financent aussi grâce au sponsoring (et parfois billetterie pour la TMCUP) je mets souvent de l'argent de ZTPROD pour ajouter des conneries ou stabiliser financièrement l'événement(et payer les gens !) car c'est aussi la plus-value de ma chaine : l’événementiel. Il est donc normal que "j'investisse" dans ce domaine. Quand vous soutenez ma chaine, vous soutenez mes événements, mes idées, mon studio, mes graphistes, mes monteurs...

UN POINT SUR L'ARGENT PERSO MAINTENANT, car c'est là tout le débat "Zera a gagné 1.4M en 2 ans" (non) : Encore une fois, à titre personnel j'ai eu la chance d'acquérir un bien immobilier en 2017 que je n'ai pas acheté "cash" ou que je n'ai pas encore "remboursé" à la banque, car je garde énormément d'argent sur le compte de l'entreprise. J'adore ce système, car dès qu'on a de la trésorerie ça me permet de dire à Dach "Hey ça te dit pas on fait un truc là ?" et on fonctionne comme ça depuis 2015 (depuis qu'on travaille ensemble). OUI je pourrais être à l’abri financièrement et m'acheter une Ferrari depuis quelques années, mais ce n'est pas (encore) le choix que j'ai fait ».

Les trois seules femmes qui figurent dans le top 100 des plus gros revenus de Twitch, entre septembre 2019 et octobre 2021, sont :

• Pokimane, à la 34^e place, une streameuse de jeux vidéo ;
• Amouranth, à la 48^e place, qui fait des séances d’ASMR et des stream jacuzzi ;
• et Sintica, à la 71^e place, une DJ dont les lives sont focalisés sur la musique.

Une mise en bouche

La personne responsable de la fuite de données a par ailleurs indiqué qu’il ne s’agissait-là que d’une mise en bouche et que d’autres documents seraient prochainement mis en ligne. En effet, sur l’un des fils publiés sur 4chan, l’intitulé du titre annonce « twitch leaks part one ». Il n’est toutefois pas précisé quand la ou les prochaines divulgations surviendront ni ce qu’elles contiendront.

Des parties de l'archive divulguée sont vastes et contiennent de grands ZIP, et il peut s'écouler des jours avant que l'étendue complète de la violation ne soit comprise*:

Certains utilisateurs de Twitter ont commencé à parcourir les 125 Go d'informations qui ont fuité, l'un d'eux affirmant que le torrent comprend également des mots de passe cryptés et recommandant aux utilisateurs d'activer l'authentification à deux facteurs pour être sûrs, ce qui garantit que même si votre mot de passe est compromis, vous avez toujours besoin de votre téléphone pour prouver votre identité à l'aide d'un SMS ou d'une application d'authentification.

Notons que, dans sa déclaration, Twitch a précisé qu'il n'y avait « aucune indication » que les informations de connexion aient été exposées.

La quantité de données consultées par le hacker n'est pas définie. Tandis que Twitch a indiqué qu'il travaille pour avoir une meilleure compréhension de sa faille de sécurité, certains utilisateurs ont été invités à changer leurs mots de passe. Twitch a également réinitialisé toutes les clefs de flux sur son service. « Par prudence, nous avons réinitialisé toutes les clefs de flux », indique un e-mail à tous les streamers Twitch.

« Selon le logiciel de diffusion que vous utilisez, vous devrez peut-être mettre à jour manuellement votre logiciel avec cette nouvelle clef pour démarrer votre prochaine diffusion :

• les utilisateurs de Twitch Studio, Streamlabs, Xbox, PlayStation et Twitch Mobile App ne devraient pas avoir besoin de prendre des mesures pour que votre nouvelle clef fonctionne ;
• les utilisateurs d'OBS qui ont connecté leur compte Twitch ne devraient pas non plus avoir besoin de prendre des mesures. Les utilisateurs d'OBS qui n'ont pas connecté leur compte Twitch à OBS devront copier manuellement leur clef de flux à partir de leur tableau de bord Twitch et la coller dans OBS ;
• pour tous les autres, veuillez vous référer aux instructions de configuration spécifiques au logiciel de votre choix ».

La fuite de Twitch sera dommageable pour le service de streaming de jeux dans tous les cas et en particulier pour les créateurs qui comptent sur Twitch pour sécuriser leurs revenus et leurs informations. Le piratage fait suite à des semaines de protestation pour que Twitch améliore son service dans le cadre du mouvement #DoBetterTwitch. Les streamers de Twitch ont également pris un jour de congé en août pour protester contre le manque d'action de l'entreprise contre les raids haineux.

Pour mémoire, en 2014, Amazon a racheté Twitch pour près d’un milliard de dollars (970 millions de dollars) dans l'optique de profiter de l’expertise de Twitch afin d’étendre son empire sur l’univers du jeu vidéo.

« Diffuser et regarder des jeux vidéo est un phénomène mondial, et Twitch a construit une plateforme qui réunit des dizaines de millions de gens qui regardent des milliards de minutes de jeux chaque mois », a commenté Jeff Bezos dans un communiqué. « Nous espérons apprendre d'eux et les aider à créer plus rapidement de nouveaux services pour la communauté des joueurs » a-t-il continué.

Avec cette opération, Amazon a ravi une cible de Google qui avait été cité par le passé comme un candidat au rachat de Twitch. Emmett Shear, qui était à la tête de l'entreprise, a déclaré « nous avons choisi Amazon parce qu'ils partagent nos valeurs et notre vision à long terme [pour Twitch], et nous permettront d'aller plus vite pour atteindre nos objectifs. (...) Avec le soutien d'Amazon, nous aurons les ressources pour vous proposer un Twitch encore meilleur ».

Sources : blog Twitch, les paiements bruts des 100 meilleurs streamers Twitch les mieux payés d'août 2019 à octobre 2021, Zerator

Et vous ?

Quelle lecture en faites-vous ?
Êtes-vous un utilisateur de Twitch ? Avez-vous reçu un message vous demandant de modifier votre mot de passe ? Avez-vous activé l'authentification à deux facteurs ?
Que pensez-vous des données publiées ?

[Stéphane le calme]

Les problèmes de sécurité de Twitch ont commencé bien avant le piratage de cette semaine,
de mauvaises pratiques de sécurité ont rendu la violation inévitable selon d'anciens employés

Une brèche de sécurité massive chez Twitch a révélé une mine d'informations concernant le code source du site Web, des projets inédits et même combien gagnent les meilleurs streamers. Alors que les analystes de données et les journalistes s'efforcent de déchiffrer ce que contiennent exactement les centaines de gigaoctets d'informations, d'autres se demandent encore comment cela s'est produit.

Une telle brèche semblait de plus en plus probable pour certains. Plusieurs sources ont affirmé que, pendant leur séjour chez Twitch, la société a privilégié la vitesse et le profit à la sécurité de ses utilisateurs et à la sécurité de ses données.

Cette violation de données, que Twitch attribue à une erreur de configuration de serveur, est la dernière d'une série de problèmes de sécurité et de modération qui ont affecté la plateforme de streaming propriété d'Amazon. En août, des raids haineux au cours desquels des streamers marginalisés ont été soumis à un nombre incontrôlable de bots diffusant des discours haineux ont éclaté sur Twitch.

Les streamers se sont regroupés pour créer le hashtag #twitchdobetter et ont organisé une grève le 1^er septembre pour attirer l'attention sur le problème et inciter Twitch à déployer des mesures de sécurité pour endiguer la vague de haine. En réponse, Twitch a reconnu les plaintes des streamers, a exhorté à la patience et a promis qu'il travaillait sur des outils qui aideraient à mieux protéger les streamers et leurs communautés.

« Nous avons vu beaucoup de conversations sur les bots, les raids haineux et d'autres formes de harcèlement ciblant les créateurs marginalisés. Vous nous demandez de faire mieux, et nous savons que nous devons faire plus pour résoudre ces problèmes. Cela inclut un dialogue ouvert et continu sur la sécurité des créateurs », a déclaré Twitch dans sa réponse.

Mais les raids haineux ne sont pas apparus soudainement cet été et, selon un ancien employé de Twitch, des alarmes ont été émises concernant les abus potentiels des raids bien avant que l'explosion en août.

Une source, qui a parlé aux médias sous couvert d'anonymat, a travaillé chez Twitch de 2017 à 2019. Elle a décrit une atmosphère où les employés étaient très préoccupés par la sécurité, mais la direction moins. « Il y aurait des questions et un mécontentement constants concernant les échecs réguliers de la modération », a déclaré la source, expliquant que la direction répondrait à ce mécontentement « très lentement ».

Dans un forum d'aide, Twitch explique : « Grâce aux raids, vous pouvez envoyer vos spectateurs sur une autre chaîne à la fin de votre stream. Les raids sont un excellent moyen de créer des liens et de vous mettre en relation avec d'autres streamers en partageant vos audiences et en faisant croître vos communautés. Un raid envoie tous les spectateurs sur la page de votre chaîne au moment du raid sur la chaîne cible. Si vous n'êtes pas en ligne au moment du raid, votre chaîne hébergera également la chaîne cible ».

Mais un ancien employé de Twitch affirme qu'en interne, cette fonctionnalité a été vue comme étant un vecteur potentiel de harcèlement uniquement en raison de leur nom et que l'équipe a dû se précipiter pour sécuriser la fonctionnalité avant sa mise en ligne. La source caractérise Twitch comme un endroit avant tout concerné par les résultats. S'il ne générait pas de revenus, alors il n'était pas aussi apprécié.

Une autre source a déclaré que Twitch avait régulièrement choisi de ne pas divulguer les problèmes de sécurité auxquels il était confronté. Un problème de sécurité non signalé est survenu en 2017, selon la source, et a ouvert la plateforme à de nouveaux risques.

Les escrocs auraient pu contacter des streamers pour demander le partage des revenus des abonnements Twitch Prime, et la source affirme que cela a conduit à la connexion de comptes Twitch à des comptes Amazon compromis.

La source note que les attaquants peuvent désormais voir les raccourcis et les API des services internes d'Amazon grâce à cette fuite. Parce que Prime Gaming d'Amazon offre des revenus aux streamers via des abonnements, la source prévient qu'il pourrait s'agir d'un nouveau vecteur d'attaque pour les hackers visant à gagner de l'argent.

De nombreuses sources décrivent Twitch comme une entreprise qui fait « semblant » d'être préoccupée par la sécurité, étant donné qu'elle ne joint pas la parole aux actes. Alors qu'Amazon possède Twitch, le service de streaming a eu le contrôle total de sa pile technologique. Cela signifie que Twitch utilise de nombreux services tiers qu'Amazon a traditionnellement évités. Twitch était sur Slack avant qu'Amazon ne l'adopte finalement, et deux sources affirment que Twitch a eu du mal à effectuer des audits efficaces sur les logiciels et les outils qu'il utilisait dans le passé.

La même source affirme qu'on leur a également demandé « d'approuver et d'examiner des documents » des mois après avoir quitté Twitch.

Tout cela donne l'image d'un type d'environnement désordonné où une erreur de configuration, comme celle qui s'est produite cette semaine, semblait inévitable. Twitch a subi un certain type de problème de sécurité en 2015, ce qui a conduit à un accès non autorisé sur certains comptes. Cette nouvelle violation a exposé une quantité massive de données internes à Internet, ne laissant à Twitch d'autre choix que de s'en occuper publiquement.

Twitch s'efforce maintenant de déterminer exactement la quantité de données qui a fuité : « Alors que l'enquête est en cours, nous sommes toujours en train de comprendre l'impact en détail », a expliqué Twitch. Tandis que Twitch enquête, des centaines ou des milliers de personnes se donnent pour mission de décortiquer les données publiées.

Sources : Twitch (raid), Twitch (twitter), Twitch (communiqué au sujet de la violation de données)

[Sandra Coret]

Près de 200 Go de code source de Samsung et le code source de la dernière technologie DLSS de Nvidia ont été publiés en ligne par le groupe de pirates Lapsus$, GitGuardian a découvert 6 695 clefs de Samsung

La diffusion de code source interne dans le domaine public par des adversaires se produit avec une régularité alarmante ces dernières années. Quelques mois seulement se sont écoulés depuis que le code source de Twitch a fuité. Il contenait non seulement les revenus des principaux streamers, mais aussi, comme l'a montré GitGuardian, plus de 6 000 clefs et secrets que les attaquants auraient pu utiliser dans d'autres attaques.

GitGuardian a analysé le code source de Samsung à la recherche d'informations sensibles telles que des secrets (clefs d’API, certificats) et en a découvert 6 695.

Ce résultat a été obtenu au cours d'une analyse qui a utilisé plus de 350 détecteurs individuels, chacun recherchant les caractéristiques spécifiques d’un type de secret, ce qui donne des résultats d'une grande précision.

Dans cette recherche, les chercheurs de GitGuardian ont exclu les résultats des détecteurs génériques de haute entropie et des détecteurs génériques de mots de passe, car ils peuvent généralement inclure desfaux positifs et donc donner des résultats majorés. En gardant cela à l'esprit, le nombre réel de secrets pourrait donc être beaucoup plus élevé.

Comme nous pouvons le voir dans l'aperçu des résultats, les huit premiers résultats représentent 90 % des découvertes et, bien que ce soient des informations très sensibles, elles peuvent être plus difficiles à utiliser pour un attaquant, car elles font probablement référence à des systèmes internes. Il reste donc un peu plus de 600 secrets d'authentification qui donnent accès à un large éventail de services et de systèmes différents qu'un attaquant pourrait utiliser pour pénétrer latéralement dans d'autres systèmes.

« Sur les plus de 6 600 clefs trouvées dans le code source de Samsung, environ 90 % sont destinées aux services et à l'infrastructure internes de Samsung, tandis que les 10 % restants, d'une importance critique, pourraient donner accès aux services ou outils externes de Samsung tels que AWS, GitHub, artifactory et Google » explique Mackenzie Jackson, Developer Advocate de GitGuardian.

Un rapport récent de GitGuardian a montré que dans une organisation comptant en moyenne 400 développeurs, plus de 1 000 secrets sont trouvés dans les dépôts de code source internes (Source State of Secrets Sprawl 2022). Si de tels secrets sont divulgués, cela pourrait affecter la capacité de Samsung à mettre à jour les téléphones en toute sécurité, permettre aux adversaires d'accéder à des informations sensibles sur les clients ou leur permettre d'accéder à l'infrastructure interne de Samsung avec la possibilité de lancer d'autres attaques.

Mackenzie Jackson ajoute : « Ces attaques rendent public un problème pour lequel de nombreux acteurs du secteur de la sécurité ont tiré la sonnette d'alarme : le code source interne contient une quantité croissante de données sensibles et reste pourtant un actif très peu fiable. Le code source est largement accessible aux développeurs de toute l'entreprise, sauvegardé sur différents serveurs, stocké sur les machines locales des développeurs et même partagé par le biais de la documentation interne ou des services de messagerie. Cela en fait une cible très attrayante pour les adversaires et c'est pourquoi nous constatons une persistance de la fréquence de ces attaques ».

Sur le canal Telegram de Lapsus$, nous pouvons avoir un aperçu de la manière dont le groupe de pirates accède à ces dépôts en envoyant ce qui est essentiellement un appel n aux employés des grandes organisations pour qu'ils leur divulguent leurs accès.

Malheureusement, nous n’avons pas fini de voir des attaques de ce type, le groupe partage maintenant des sondages, toujours par le biais de leur canal Telegram, demandant à leur audience quel code source ils devraient divulguer ensuite, indiquant que de nombreuses autres fuites de code source interne sont susceptibles de se produire à l'avenir.

À propos de GitGuardian

L’évolution des méthodes de développement logiciel crée la nécessité de prendre en compte de nouvelles vulnérabilités et de nouveaux flux de travail de remédiation. Ces besoins ont émergé si brusquement qu'ils ont donné naissance à un marché des outils DevSecOps jeune et très fragmenté. Les solutions sont spécialisées en fonction du type de vulnérabilités à traiter : SAST, DAST, IAST, RASP, SCA, détection des secrets, sécurité des conteneurs et sécurité des infrastructures as code. De plus, les outils proposés ne sont pas bien intégrés dans le flux de travail des développeurs.
GitGuardian, fondé en 2017 par Jérémy Thomas et Eric Fourrier, prix Start-up FIC 2021 et membre du FT120 s'est imposé comme un spécialiste de la détection de secrets et focalise ses efforts R&D sur des solutions répondant au modèle de responsabilité partagée autour de l’AppSec en commençant par bien prendre en compte l'expérience des développeurs.

Source : GitGuardian

Et vous ?

Que pensez-vous des résultats de cette analyse ?

Voir aussi :

Le code source de Twitch, les gains des streamers et des outils internes ont fuité en ligne, Twitch a confirmé avoir subi une violation de données suite à un changement de configuration

Compromission du code PHP : les responsables de PHP reprochent désormais une fuite de la base de données utilisateurs master.php.net, plutôt qu'un problème avec le serveur lui-même

Nintendo aurait souffert d'une fuite importante de ses anciennes consoles, le code source, les documents de développement et autres auraient été divulgués

[TotoParis]

C'est là où on regrette l'absence de la peine de mort pour ce type de crime gravissime.