Catégories
Posts tech 🛠️

Leak de Twitch – Partie 1

Nous sommes deux jours après la plus grosse panne historique de Facebook et c’est au tour du leak de Twitch de venir titiller un autre membre des GAFAM.

Depuis la nuit dernière, un mystérieux post a fait son apparition sur 4Chan. Après quelques revendications, l’auteur laisse apparaitre un lien magnet permettant le téléchargement d’une quantité élevé de documents internes à l’entreprise Twitch.

C’est donc 128Go de données compressées qui sont désormais dans la nature et chose importante, elles sont toutes fraîches. Les dernières informations dans ce leak datent de très exactement hier.

Les équipes de Twitch n’ont pas encore répondu donc l’intrusion n’est peut être pas encore maîtrisé. Prudence donc avant le renouvellement des mots de passe et autres token de stream.

Pour cette analyse nous nous sommes basé sur une copie des données qui ont fuité dans un cadre journalistique ainsi que sur les analyses de différents experts informatiques et de leurs publications.

Contenu du leak de Twitch

Datasets et bases de données

Dans la masse de données rendues publiques (Plus de 4000 fichier csv), on retrouve des données très sensibles et stratégiques tel que :

  • Revenus des streamers
    • Sources de revenus (Sub, Prime, Dons)
    • Montants des revenus (En chiffre d’affaire, pas bénéfice)
    • Status du streamer (Partenaire, Affilié)
  • Statistiques de stream (Temps / Mois / Streamer)
  • Statistiques des jeux (Temps / Mois)
  • Tendances des audiences par périodes (Temps / Mois / Jeux)
  • Listes des annonceurs
    • Coordonnées privés

Toutes ces données sont brutes et nécessitent d’être traitées par des analystes afin de devenir lisible par le plus grand nombre. D’après les premières analyses auxquelles nous avons eu accès, la plateforme comporte de nombreuses disparités concernant la rémunération des diffuseurs.

Il a par exemple été montré que 50% des streamers de la plateformes perçoivent moins d’un dollars par mois en guise de rémunération via Twitch. De quoi faire tomber des nues certaines mauvaises langues.

Code et sécurité

La fuite comprend environ 6000 dépôts récupérés en interne. On distingue deux choses : Premièrement le code source de la plateforme et des outils internes. Mais aussi des configuration de serveurs et autres fichiers textes utilisé pour les logiques GitOps.

On retrouve pas mal de documentation interne sur l’utilisation des outils, leur rôle, les modèles logiques ou encore le guide du nouvel arrivant.

Plus de 6000 dépôts de code interne ont ainsi été récupéré et voici quelques chiffres tiré d’une analyse statistiques des fichiers.

FBDA7YpXoAE ScR?format=jpg&name=small - Leak de Twitch - Partie 1
Statistiques des fichiers sources

Cybersécurité

Niveau pratiques en cybersécurité, il y a visiblement un peu de tout. Du bon comme du moins bon. Les bases de code étant très large, on sent que le niveau des développeurs n’est pas homogène face aux risques cyber.

Au carnet des mauvaises pratiques on notera :

  • Listes des identifiants admins de la plateforme hard-codé
  • Clefs SSH privés directement dans le code
  • Des comptes administrateurs sans mot de passe sur certaines machines
  • L’utilisation de fonctions de hashage faible jusqu’en 2015 (SHA1 avant transition vers bcrypt)

Dans un des dossiers, nous avons eu accès à un guide de bienvenue à destination des nouveaux développeurs. Accès VPN, outils internes, tout est expliqué ainsi que l’utilisation d’une clef de sécurité Yubikey.

Encodeurs vidéo

Dans les sources un dossier a retenu notre attention. Il s’agit des sources des encodeurs vidéo utilisées par la plateforme. Twitch étant une plateforme basée sur le traitement de flux vidéo en direct il s’agit la d’un des plus grand secret industriel du groupe. On peut largement imaginer la concurrence se ruer sur les précieuses sources pour étudier ces implémentations.

Algorithmes de recommandation

Toujours dans les secrets industriels on peut retrouver des algorithmes de recommandation, fer de lance de ce type de plateforme. Ce sont eux qui définissent ce qui auront ou non de la visibilité.

Ces algorithmes par habitude hautement opaques sont désormais dans la nature. Nul doute que les plus aventurier des dépouilleurs de leak prendrons le temps de les passer au peigne fin. Une fois la formule magique maîtrisée, les acteurs de la plateforme serons en mesure d’optimiser leur chaîne pour améliorer leur visibilité.

Vapor

Chose très embarrassante pour Twitch, l’intégralité du code client et serveur de service de distribution de jeu nommée Vapor sont présent dans les fuites. Il s’agit d’un concurrent direct à Steam et à l’Epic Games Launcher qui n’avait jamais été annoncé par l’entreprise.

En bonus, on retrouve également un jeu écrit avec le moteur Unity3D VaporWorld qui ressemblerai fortement à un VR chat.

Bref pour l’effet de surprise, on peut dire que c’est râpé. 😬

Conclusion

À travers cette fuite massive de données, on retrouve la première big tech américaine mise à nue. Secrets industriels, Cœur de métier, Données business, tout y est passé.

Bien évidemment nos pensées vont aux équipes qui sont sur le pont. Derrière une crise il y a beaucoup d’humains sous pression qui tentent de remettre de l’ordre, donc force à vous 💪‍

Pour finir, nous vous donnons rendez-vous dans une partie 2 qui complètera cette analyse quand de nouveaux éléments émergerons.

Comme toujours un grand merci à Nicolas pour sa relecture attentive 😜

Sources

Twitter

Defend Intelligence

Khaos Farbauti Ibn Oblivion

Noa

Twitch

Jake_$ 

Troy Hunt

Articles