Twitch : piratage de données sensibles

Twitch : piratage de données sensibles

Vent de panique dans le milieu du streaming. La plateforme Twitch, leader de la diffusion de vidéo en direct sur internet, semble avoir été victime d’un important piratage, mercredi 6 octobre.

Des internautes anonymes, qui disent vouloir « favoriser la concurrence dans le milieu du streaming », ont mis en ligne en début de journée un imposant fichier de plus de 100 gigaoctets sur un forum public. Son contenu donne le tournis : pêle-mèle, on y trouve l’intégralité du code source permettant le fonctionnement de la plateforme, mais également des outils de sécurité internes de Twitch, ou encore les bases d’un projet de plateforme d’achat de jeux vidéo encore confidentielle et présentée comme un concurrent de Steam, principal acteur du marché.

Les mots de passe des utilisateurs pourraient également avoir été concernés par cette fuite. Les internautes disposant d’un compte sur la plateforme sont donc invités à modifier rapidement leur mot de passe, et à activer l’authentification à deux facteurs pour protéger leurs données.

Twitch, qui appartient au géant Amazon, n’a pas encore répondu aux questions de franceinfo. Mais la plateforme a confirmé en fin d’après-midi avoir constaté une « violation » de ses données. « Nos équipes travaillent de toute urgence pour en mesurer l’étendue », écrit l’entreprise sur Twitter, avant de promettre d’informer « la communauté dès que des informations supplémentaires seront disponibles ».

Twitch : un leak dévoile absolument tous les documents de la plateforme

Une archive de 100 Go est téléchargeable et dans celle-ci, énormément d’infos confidentielles sont données : salaires cumulés des streamers, projets en cours et passés, mot de passes… Bref, un terrible coup pour le site de streaming qui voit absolument tout être partagé. Dans le détail, les infos dévoilées ont de quoi faire tourner la tête :

  • Totalité du code source de Twitch et les différentes mises-à-jour, ainsi que des applis mobiles, des codes d’intégration et des services de cloud
  • Salaires et revenus des streamers depuis 2019
  • Base de données complète
  • Un projet de boutique de jeux vidéo/launcher, concurrent de Steam (‘Vapor’, en interne)
  • Outils et processus en interne autour de la sécurité du service
  • Liste incomplète de mots de passe en clair et sans encryption

Alors que l’info a pris le monde internet par surprise, les recommandations sont les mêmes pour tous : changez votre mot de passe dès à présent.

Code source, paiements, informations confidentielles…

A la différence de nombreuses autres fuites ces dernières années, celle concernant Twitch s’attaque principalement à la plateforme elle-même, et non à ses utilisateurs. Ainsi, il n’est pas certain que les mots de passe de tous les utilisateurs – 30 millions de visiteurs par jour, sept millions de streamers par mois – aient été divulgués. L’ampleur de l’évènement (et dans l’attente d’une éventuelle « partie deux ») incite tout de même à changer son mot de passe et d’activer la double authentification (2FA). La création d’un compte pouvant être réalisée via Amazon (propriétaire de Twitch), il est aussi recommandé de changer son mot de passe sur le site marchand.

D’après VGC, qui a eu accès au torrent, le code source du site serait entièrement disponible. De quoi, comme le rappelle le site Numerama, avoir accès à tous les outils de développement, de modération du site et de ses différentes applications. Des informations confidentielles sur des projets comme Vapor, un futur concurrent de Steam lancé par Amazon Game Studios, ou des plateformes gérées par Twitch à l’image de IGDB et CurseForge figurent aussi dans le torrent publié sur 4chan. 

Enfin, et c’est ce qui fait beaucoup réagir sur les réseaux sociaux, apparaissent les sommes versées par Twitch aux créateurs à plus de 10 000 créateurs présents sur la plateforme entre août 2019 et octobre 2021. On ne sait en revanche pas si elles incluent l’argent gagné grâce à la publicité, les abonnements payants (possibles à partir de 4,99 euros par mois sur Twitch, ou via son compte Amazon Prime), ou les deux à la fois. 

Les « streamers » touchés

Les créateurs de contenus (ou « streamers ») sont eux aussi lourdement impactés par cette fuite. Les revenus que Twitch leur a versés de septembre 2019 à octobre 2020 ont été exposés. Ces créateurs de contenus qui cultivent d’habitude le secret autour de leurs revenus ont dû confirmer tour à tour que les chiffres publiés sont corrects. Des révélations attirant parfois les foudres de leurs abonnés. « Oui, les chiffres sont vrais », a admis sur Twitter le créateur Zerator, un affilié à la plateforme.

Dans son cas, la fuite parle d’un revenu atteignant 1,4 million de dollars sur environ trois ans. Un montant qui ne représente que les revenus des abonnements et de la publicité, ce qui exclut les partenariats et dons de la communauté, généralement la moitié du total. Si la somme semble colossale, lui et de nombreux streamers sont montés au créneau pour rappeler que cet argent n’atterrit pas directement « sur le compte en banque ».

Des créateurs confirment les chiffres de leurs revenus

Un fichier Excel recensant les comptes de différents créateurs de contenus sur la plateforme circule ce mercredi après-midi sur les réseaux sociaux. Dans le tableau sont indiqués les revenus de ces streamers sur une période allant d’août 2019 à octobre 2021. Parmi l’une des personnes citées, ZeratoR, un streamer français spécialisé dans les jeux vidéo, a confirmé la véracité des informations le concernant. Il a d’ailleurs profité de l’occasion pour expliquer qu’il s’agissait de chiffres d’affaires et non de bénéfices.

ZeratoR est en 44e position du classement des streamers les mieux rémunérés par Twitch, avec 1,4 million de dollars sur près de deux ans, soit environ 50.000 euros mensuels. Le collectif CriticalRole, un groupe de comédiens et de doubleurs qui jouent à Donjons et dragons, flirte avec les 10 millions de dollars sur la période. Il faut retirer à ces sommes les coûts de production, diverses commissions et impôts, mais les streamers les plus populaires peuvent gagner beaucoup plus en ajoutant les donations et le sponsoring.

Seulement trois femmes parmi le top 100

Les trois seules femmes qui figurent dans le top 100 des plus gros revenus de Twitch, entre septembre 2019 et octobre 2021, sont :

  • Pokimane, à la 34e place, une streameuse de jeux vidéo,
  • Amouranth, à la 48e place, qui fait des séances d’ASMR et des stream jacuzzi,
  • et Sintica, à la 71e place, une DJ dont les lives sont focalisés sur la musique.

Pour quiconque suit de près ou de loin l’actualité de Twitch, cette nouvelle ne sera pas très étonnante : le sexisme et les commentaires misogynes sont très courants sur Twitch. Le harcèlement est également un fléau qui touche quasiment toutes les femmes streameuses, et le phénomène est encore plus exacerbé lors qu’elles sont spécialisées dans les jeux vidéo.

Comme nous l’avions montré dans enquête l’an passé, la plateforme n’est pas un endroit où les femmes peuvent se sentir à l’aise, et où les menaces de mort sont courantes. Dans ces conditions, s’imposer comme streameuse ne relève pas du parcours de la combattante, mais carrément de l’exploit.

Le problème de harcèlement permanent envers les streameuses est devenu tel que Twitch a dû se saisir du problème. La plateforme a décidé de sévir l’année dernière contre les hommes coupables de harcèlement et de propos sexistes, en bannissant notamment de manière temporaire certains Twitch partners. Twitch a également changé son règlement, afin de permettre de mieux lutter contre le harcèlement auquel les streameuses sont exposées en permanence. Mais force est de constater que, malgré les quelques mesures prises par Twitch pour permettre aux femmes de se sentir plus en sécurité sur la plateforme, réussir en tant que streameuses reste dur — et réussir à en vivre est encore plus inaccessible.