Surprise pour l'ensemble des 336 millions d'utilisateurs de Twitter avec un compte. Ils sont invités à changer leur mot de passe lors d'une connexion. Selon Twitter, cette demande anxiogène est formulée par " excès de précaution " après la découverte d'un bug.

Dans un journal interne (fichier de log interne sur un serveur), Twitter a découvert que les mots de passe étaient stockés en clair. Twitter évoque un bug faisant que les mots de passe étaient écrits dans ce journal interne avant l'accomplissement du processus de hachage.

Twitter s'appuie sur la fonction de hachage brcypt considérée comme un standard industriel en la matière. Les mots de passe sont ainsi masqués et stockés sous la forme d'une série aléatoire de chiffres et lettres. " Cela permet à nos systèmes de valider les identifiants de votre compte sans dévoiler votre mot de passe. "

Sauf qu'à cause dudit bug, des mots de passe ont été écrits sous forme non masquée dans le système informatique interne de Twitter, sans donc hachage. Dans ses explications, Twitter ne précise pas le nombre d'utilisateurs potentiellement concernés, ni la période de l'incident.

On peut supposer que le log interne (automatisé) a atteint une taille conséquente. Néanmoins, Twitter apporte des éléments rassurants. Outre le fait que le bug a été corrigé et le log nettoyé, Twitter indique que le problème (ou oubli coupable ?) a été identifié par ses soins. Il n'y a " aucune indication d'intrusion ou d'utilisation malveillante par quiconque. "

En clair... pas de fuite de données. Au pire, une poignée d'employés de Twitter ont pu voir des mots de passe en clair. Cela n'empêche pas Twitter de présenter ses plus plates excuses. Évidemment, les utilisateurs sont aussi invités à changer le mot de passe sur d'autres services, s'ils ont la mauvaise habitude de le recycler.

Il y a quelques jours, c'est GitHub qui a reconnu avoir accidentellement enregistré des mots de passe en clair dans ses logs internes pour un petit nombre d'utilisateurs.