Catégories
Posts tech đŸ› ïž

Leak de Twitch

Nous sommes deux jours aprùs la plus grosse panne historique de Facebook et c’est au tour du leak de Twitch de venir titiller un autre membre des GAFAM.

Depuis la nuit derniĂšre, un mystĂ©rieux post a fait son apparition sur 4Chan. AprĂšs quelques revendications, l’auteur laisse apparaitre un lien magnet permettant le tĂ©lĂ©chargement d’une quantitĂ© Ă©levĂ© de documents internes Ă  l’entreprise Twitch.

C’est donc 128Go de donnĂ©es compressĂ©es qui sont dĂ©sormais dans la nature et chose importante, elles sont toutes fraĂźches. Les derniĂšres informations dans ce leak datent de trĂšs exactement hier.

Les Ă©quipes de Twitch n’ont pas encore rĂ©pondu donc l’intrusion n’est peut ĂȘtre pas encore maĂźtrisĂ©. Prudence donc avant le renouvellement des mots de passe et autres token de stream.

Pour cette analyse nous nous sommes basé sur une copie des données qui ont fuité dans un cadre journalistique ainsi que sur les analyses de différents experts informatiques et de leurs publications.

Contenu du leak de Twitch

Datasets et bases de données

Dans la masse de données rendues publiques (Plus de 4000 fichier csv), on retrouve des données trÚs sensibles et stratégiques tel que :

  • Revenus des streamers
    • Sources de revenus (Sub, Prime, Dons)
    • Montants des revenus (En chiffre d’affaire, pas bĂ©nĂ©fice)
    • Status du streamer (Partenaire, AffiliĂ©)
  • Statistiques de stream (Temps / Mois / Streamer)
  • Statistiques des jeux (Temps / Mois)
  • Tendances des audiences par pĂ©riodes (Temps / Mois / Jeux)
  • Listes des annonceurs
    • CoordonnĂ©es privĂ©s

Toutes ces donnĂ©es sont brutes et nĂ©cessitent d’ĂȘtre traitĂ©es par des analystes afin de devenir lisible par le plus grand nombre. D’aprĂšs les premiĂšres analyses auxquelles nous avons eu accĂšs, la plateforme comporte de nombreuses disparitĂ©s concernant la rĂ©munĂ©ration des diffuseurs.

Il a par exemple Ă©tĂ© montrĂ© que 50% des streamers de la plateformes perçoivent moins d’un dollars par mois en guise de rĂ©munĂ©ration via Twitch. De quoi faire tomber des nues certaines mauvaises langues.

Code et sécurité

La fuite comprend environ 6000 dépÎts récupérés en interne. On distingue deux choses : PremiÚrement le code source de la plateforme et des outils internes. Mais aussi des configuration de serveurs et autres fichiers textes utilisé pour les logiques GitOps.

On retrouve pas mal de documentation interne sur l’utilisation des outils, leur rîle, les modùles logiques ou encore le guide du nouvel arrivant.

Plus de 6000 dĂ©pĂŽts de code interne ont ainsi Ă©tĂ© rĂ©cupĂ©rĂ© et voici quelques chiffres tirĂ© d’une analyse statistiques des fichiers.

Image
Statistiques des fichiers sources

Cybersécurité

Niveau pratiques en cybersĂ©curitĂ©, il y a visiblement un peu de tout. Du bon comme du moins bon. Les bases de code Ă©tant trĂšs large, on sent que le niveau des dĂ©veloppeurs n’est pas homogĂšne face aux risques cyber.

Au carnet des mauvaises pratiques on notera :

  • Listes des identifiants admins de la plateforme hard-codĂ©
  • Clefs SSH privĂ©s directement dans le code
  • Des comptes administrateurs sans mot de passe sur certaines machines
  • L’utilisation de fonctions de hashage faible jusqu’en 2015 (SHA1 avant transition vers bcrypt)

Dans un des dossiers, nous avons eu accĂšs Ă  un guide de bienvenue Ă  destination des nouveaux dĂ©veloppeurs. AccĂšs VPN, outils internes, tout est expliquĂ© ainsi que l’utilisation d’une clef de sĂ©curitĂ© Yubikey.

Encodeurs vidéo

Dans les sources un dossier a retenu notre attention. Il s’agit des sources des encodeurs vidĂ©o utilisĂ©es par la plateforme. Twitch Ă©tant une plateforme basĂ©e sur le traitement de flux vidĂ©o en direct il s’agit la d’un des plus grand secret industriel du groupe. On peut largement imaginer la concurrence se ruer sur les prĂ©cieuses sources pour Ă©tudier ces implĂ©mentations.

Algorithmes de recommandation

Toujours dans les secrets industriels on peut retrouver des algorithmes de recommandation, fer de lance de ce type de plateforme. Ce sont eux qui définissent ce qui auront ou non de la visibilité.

Ces algorithmes par habitude hautement opaques sont dĂ©sormais dans la nature. Nul doute que les plus aventurier des dĂ©pouilleurs de leak prendrons le temps de les passer au peigne fin. Une fois la formule magique maĂźtrisĂ©e, les acteurs de la plateforme serons en mesure d’optimiser leur chaĂźne pour amĂ©liorer leur visibilitĂ©.

Vapor

Chose trĂšs embarrassante pour Twitch, l’intĂ©gralitĂ© du code client et serveur de service de distribution de jeu nommĂ©e Vapor sont prĂ©sent dans les fuites. Il s’agit d’un concurrent direct Ă  Steam et Ă  l’Epic Games Launcher qui n’avait jamais Ă©tĂ© annoncĂ© par l’entreprise.

En bonus, on retrouve Ă©galement un jeu Ă©crit avec le moteur Unity3D VaporWorld qui ressemblerai fortement Ă  un VR chat.

Bref pour l’effet de surprise, on peut dire que c’est rĂąpĂ©. 😬

Conclusion

À travers cette fuite massive de donnĂ©es, on retrouve la premiĂšre big tech amĂ©ricaine mise Ă  nue. Secrets industriels, CƓur de mĂ©tier, DonnĂ©es business, tout y est passĂ©.

Bien Ă©videmment nos pensĂ©es vont aux Ă©quipes qui sont sur le pont. DerriĂšre une crise il y a beaucoup d’humains sous pression qui tentent de remettre de l’ordre, donc force Ă  vous đŸ’Ș‍

Comme toujours un grand merci à Nicolas pour sa relecture attentive 😜

Sources

Twitter

Defend Intelligence

Khaos Farbauti Ibn Oblivion

Noa

Twitch

Jake_$ 

Troy Hunt

Articles