Instagram : 30 millions d’amis et une faille de sécurité

Mobilité
mot-de-passe-securite-login-password-faille-breche

Instagram a résorbé une faille repérée par un chercheur en sécurité IT. Elle permettait à quiconque d’accéder aux éléments de profil et aux photos des utilisateurs à leur insu.

Grosse frayeur pour les quelque 30 millions de membres d’Instagram.

Un expert en sécurité a révélé au grand jour une faille – corrigée depuis lors – qui permettait à quiconque d’accéder aux éléments de profil et aux photos, même privées, de n’importe quel utilisateur.

L’artifice reposait sur une attaque de type force brute par laquelle un assaillant pouvait se faire l’ami de tous les inscrits sans exception et de surcroît sans leur consentement.

Ces desseins malveillants impliquaient donc de contourner le système d’approbation bipartite utilisé pour nouer un lien d’amitié entre deux comptes.

Qui a découvert la faille ?  Un chercheur dénommé Sebastian Guerrero qui a appliqué, pour l’exemple, la démonstration à Mark Zuckerberg.

Il a exploité une vulnérabilité dans le traitement de la requête USER_ID, ce qui lui a donné accès aux photos privées du dirigeant de Facebook.

Tout se joue lors de l’appel à l’API. Pour vérifier si une personne est amie avec une autre, la commande GET http://instagram.com/api/v1/users/USER_ID/info/ HTTP/1.1 est sollicitée. Y est associé un hash (clé alphanumérique unique).

Pour accepter une demande, c’est la commande POST http://instagram.com/api/v1/friendships/approve/USER_ID/ HTTP/1.1.

Pour la rejeter, seul change le paramètre approve, qui devient ignore. Mais le hash reste le même.

Sebastian Guerrero est parvenu à tirer à profit cette ressemblance pour détourner les requêtes adressées aux serveurs d’Instagram et valider automatiquement les demandes d’ajout en tant qu’ami.

L’expert en sécurité IT n’est toutefois pas parvenu à déterminer si des pirates s’y étaient essayés auparavant. Il en a notifié Instagram, qui a résorbé la faille sur-le-champ.

Plate-forme de retouche et de partage de photos créée en janvier 2011 à l’initiative de Mike Krieger et Kevin Systrom, Instagram est accessible sur le Web et via des applications mobiles.

Début avril, peu avant son entrée en Bourse, Facebook y a investi 1 milliard de dollars (alors l’équivalent de 762 millions d’euros) en actions et en cash… pour hériter de cette faille.

faille Instagram photos personnelles

Crédit image : © auryndrikson – Fotolia.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur