Le site de microblogging Twitter et le site de gestion de contrôle GitHub ont récemment commis le même impair : ils ont consigné dans un journal les mots de passe d’utilisateurs en texte en clair, alors qu’ils auraient dû être consignés chiffrés, comme d’habitude.
Dans les deux cas, ces journaux sont exploités en interne, très peu d’employés y ont eu accès avant que l’erreur n’ait été détectée, et il n’y a aucun élément laissant à penser que des personnes externes aient pu s’en emparer.
GitHub n’a pas cru bon de divulguer le nombre de personnes affectées, se contentant de leur envoyer un courriel pour exiger un changement de mot de passe.
Tous les utilisateurs de Twitter, soit près de 320 millions, sont en revanche concernés. Twitter n’exige pas la réinitialisation des mots de passe, mais le recommande fortement, tout comme l’utilisation de l’authentification à double facteur par SMS, ce qu’elle appelle vérification de connexion.
Les deux entreprises ont immédiatement effacé le journal en clair.
On peut se demander s’il s’agit d’une coïncidence que deux entreprises technologiques commettent le même impair au même moment. Si ce n’est pas le cas, d’autres prestataires de services ont peut-être été affectés par un même bogue de sécurité.