Grosse frayeur pour les quelque 30 millions de membres d’Instagram.
Un expert en sécurité a révélé au grand jour une faille – corrigée depuis lors – qui permettait à quiconque d’accéder aux éléments de profil et aux photos, même privées, de n’importe quel utilisateur.
L’artifice reposait sur une attaque de type force brute par laquelle un assaillant pouvait se faire l’ami de tous les inscrits sans exception et de surcroît sans leur consentement.
Ces desseins malveillants impliquaient donc de contourner le système d’approbation bipartite utilisé pour nouer un lien d’amitié entre deux comptes.
Qui a découvert la faille ? Un chercheur dénommé Sebastian Guerrero qui a appliqué, pour l’exemple, la démonstration à Mark Zuckerberg.
Il a exploité une vulnérabilité dans le traitement de la requête USER_ID, ce qui lui a donné accès aux photos privées du dirigeant de Facebook.
Tout se joue lors de l’appel à l’API. Pour vérifier si une personne est amie avec une autre, la commande GET http://instagram.com/api/v1/users/USER_ID/info/ HTTP/1.1 est sollicitée. Y est associé un hash (clé alphanumérique unique).
Pour accepter une demande, c’est la commande POST http://instagram.com/api/v1/friendships/approve/USER_ID/ HTTP/1.1.
Pour la rejeter, seul change le paramètre approve, qui devient ignore. Mais le hash reste le même.
Sebastian Guerrero est parvenu à tirer à profit cette ressemblance pour détourner les requêtes adressées aux serveurs d’Instagram et valider automatiquement les demandes d’ajout en tant qu’ami.
L’expert en sécurité IT n’est toutefois pas parvenu à déterminer si des pirates s’y étaient essayés auparavant. Il en a notifié Instagram, qui a résorbé la faille sur-le-champ.
Plate-forme de retouche et de partage de photos créée en janvier 2011 à l’initiative de Mike Krieger et Kevin Systrom, Instagram est accessible sur le Web et via des applications mobiles.
Début avril, peu avant son entrée en Bourse, Facebook y a investi 1 milliard de dollars (alors l’équivalent de 762 millions d’euros) en actions et en cash… pour hériter de cette faille.
Crédit image : © auryndrikson – Fotolia.com
Microsoft lance Phi-3-mini, un petit modèle de langage (SLM) qui s'adresse aux entreprises ne disposant…
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
