"Bug" chez Twitter: mieux vaut prévenir…

Twitter conseille à ses utilisateurs de changer leur mot de passe, suite à la découverte d’un bug dans le processus de chiffrement et de stockage des mots de passe des utilisateurs.

Même si aucune fuite de donnée n’a été détectée à ce jour, il est conseillé de changer de mot de passe par précaution…  Et si le même mot de passe a été utilisé pour d’autres services, il faudra le changer partout où il est utilisé.

Il est apparu que les mots de passe avaient été stockés en clair dans des fichiers logs, alors qu’ils auraient dû être rendus indéchiffrables.

Selon Twitter, cela ne signifie en aucun cas que des mots clés aient fuité vers l’extérieur, et le bug est à présent réparé,  mais la firme conseille tout de même à ses utilisateurs de se protéger.

C’est l’occasion également de rappeler quelques règles de base concernant les mots de passe.

  1. Il doit être solide, c’est-à-dire difficile à deviner, absent du dictionnaire et comportant au minimum 12 caractères (dont des chiffres et des caractères spéciaux) ;
  2. Il doit être unique, ce qui signifie qu’il ne faut pas utiliser le même mot de passe pour  accéder à différents services ;
  3. Il ne doit pas être partagé avec qui que ce soit. Si, en cas de force majeure, vous êtes amenés à partager un mot de passe avec un tiers, il faut le changer aussitôt que possible.
  4. Un mot de passe est encore plus fort s’il est accompagné d’un 2e facteur d’authentification : de cette manière, dès qu’une tentative de connexion sera faite sur votre compte, à partir d’un ordinateur inconnu, un 2e code vous sera demandé. Ce code vous sera envoyé par SMS ou généré par un token.

Twitter conseille également d’utiliser un gestionnaire de mots de passe pour être certain d’utiliser des mots de passe forts et uniques pour chaque service.

Cet épisode rappelle également à toutes les entreprises que la sécurité des données doit être prise en compte dès la conception des produits et des services en ligne. « Security et Privacy par design » sont des principes clés inscrits dans le Règlement Général pour la Protection des Données (RGPD) qui entrera en vigueur le 25 mai 2018.

Le RGPD oblige également les entreprises à informer leurs clients en cas de risque ou d’incident concernant leurs données. De ce point de vue, Twitter montre l’exemple.