La semaine dernière nous apprenions qu'Instragram avait été victime d'un piratage. Des comptes de personnalités, telles que Beyonce, Neymar, Leonardo Di Caprio ou encore Zinedine Zidane avaient été touchés. Des données de célébrités volées sur un réseau social, c'est tellement fréquent qu'on n'y fait même plus attention :-) Mais il s'agit en fait d'un piratage de très grande ampleur.

Le fait est que, souvent, les titulaires des comptes, célébrités ou non, ont des mots de passe si faibles qu'ils sont facilement devinés, après quelques essais en force brute. Mais cette fois il ne s'agit pas de ça.

Une faille dans une API d'Instagram a permis un piratage massif. Un billet sur le blog d'Instagram reconnaît l'incident et évoque une réparation rapide de la faille. Toutefois, selon certains experts en sécurité, la faille est restée en place douze heures après sa découverte.

Les pirates ont ainsi aspiré les données de plus de 6 millions de comptes au rythme de 500 000 comptes à l'heure. Les données volées consistent en des adresses mails et des numéros de téléphone.

Instagram n'est pas en mesure de savoir quels comptes ont été compromis. Une faible pourcentage dit le billet. 6 millions sur 700, c'est peu de ce point de vue :-) Les mots de passe n'ont pas été révélés précise le billet. L'expression pas révélés plutôt que pas dérobés donne à penser que les mots de passe sont cryptés chez Instagram et que les hash des mots de passes ont été volés avec le reste, ce qui peut éventuellement poser des problèmes potentiels, selon le cryptage utilisé. D'ailleurs le billet recommande aux utilisateurs d'Instagram de surveiller toute activité suspecte sur leurs comptes.

Comment les données ont elles été dérobées ? A partir d'une version obsolète de l'application mobile d'Instagram, la 8.5.1, alors que la version actuelle est la 12.0.0.

Kaspersky lab explique dans un communiqué "Les chercheurs [de Kaspersky Lab] ont ainsi remarqué que la vulnérabilité s’était logée dans la version mobile d’Instagram 8.5.1, lancée en 2016 (la version actuelle est 12.0.0). La procédure d’attaque est relativement simple : en utilisant la version obsolète de l’application, les cybercriminels ont utilisé la fonction de réinitialisation du mot de passe et intercepté la requête en utilisant un Proxy web. Ensuite, ils ont sélectionné une victime et envoyé une requête au serveur d’Instagram sous le nom d’utilisateur ou l’identifiant de la victime. Le serveur renvoie ensuite une réponse JSON comportant les informations personnelles de la victime qui incluent des données sensibles telles que le numéro de téléphone et l’email."