En façade, une annonce du directeur technique selon laquelle « peu de comptes » ont été touchés ; mais en coulisse, la maison mère Facebook qui semble entrée en gestion de crise : difficile de déterminer l’ampleur du piratage qui a frappé Instagram.
Le réseau social avait émis une première alerte mercredi dernier, affirmant que des tiers avaient pu avoir accès aux informations de contact – adresses électroniques et/ou numéros de téléphone – rattachées à certains comptes « vérifiés » (liés à des personnalités, des célébrités et des marques).
Le complément d’information apporté par Instagram dans la journée de vendredi en dit peu sur l’étendue du hack ; sinon qu’aucun mot de passe n’aurait été exfiltré.
Ce n’est pas ce que prétendent* ceux qui se revendiquent auteurs de l’attaque. Dans leur fil de discussion ouvert sur les forums Bitcoin Talk, ils déclarent détenir « l’intégralité de la base de données d’Instagram (plus de 200 millions d’utilisateurs) [sachant que la plate-forme en revendique 700 millions actifs par mois, ndlr] ».
Se qualifiant de brokers, ils poursuivent : « Nous ne faisons que vendre des données dont les sociétés disposent déjà par des canaux non officiels. » Et d’ajouter : « Nous avons plus d’informations qu’ils le pensent. Simplement, nous ne la vendons/publions pas. »
Les pirates disent, en l’occurrence, s’être concentrés sur quelque 6 millions de comptes « à valeur ajoutée ». On parle là d’acteurs comme Emma Watson, Zac Efron et Leonardo DiCaprio, mais aussi de chanteurs tels que Beyoncé, Snoop Dogg et Lady Gaga ou encore de sportifs parmi lesquels Neymar et Zinédine Zidane, à en croire la firme de cybersécurité RepKnight.
Les données en question, assorties d’un moteur de recherche, sont accessibles sur le réseau Tor (freakier444chaos.onion), mais aussi sur un site Web, baptisé Doxagram et dont l’adresse a déjà changé à plusieurs reprises, visiblement sous les coups de boutoir de Facebook.
L’achat de données se fait à un tarif unique : 10 dollars par compte, à régler en bitcoins en passant par les plates-formes d’échange Coinbase ou Cex.io.
En guise de preuve, les intéressés ont procuré un échantillon de 1 000 comptes au Daily Beast, qui a pu constater que de nombreuses adresses e-mail étaient authentiques… et surtout difficilement accessibles par d’autres moyens.
Sur Bitcoin Talk, un débat s’est engagé quant à la faille utilisée pour attaquer Instagram.
À l’évocation d’un certain « 1337r00t » susceptible de publier lui aussi des informations s’il n’était pas « remercié pour son travail », les pirates ont préféré faire amende, laissant entendre qu’ils se sont basés sur ledit travail : un exploit fondé sur une vulnérabilité dans la gestion des jetons de session.
Un lien semble pouvoir être fait avec le détournement, la semaine passée, du compte de Selena Gomez (125 millions d’abonnés), utilisé pour relayer des photos indiscrètes de son ancien compagnon Justin Bieber lors de ses vacances à Bora Bora à l’été 2015.
* Ils disent avoir en leur possession les mots de passe chiffrés.
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…