En milieu de semaine dernière, Instagram avait avoué avoir décelé des connexions illégitimes sur des comptes d’utilisateurs. Un fait difficile de masquer puisque des comptes de célébrités étaient impliqués et donc très médiatisé. Le 28 août par exemple le compte de Selena Gomez avait été piraté et avait publié des photos de Justin Bieber nu.
Au moins 6 millions de comptes touchés après le piratage d’Instagram
Instagram avait avoué que 100.000 comptes avaient été touchés et que la faille avait été colmatée. Kaspersky a montré que la vulnérabilité exploitée était présente sur la version mobile d’Instagram 8.5.1, lancée en 2016. En gros, le spécialiste de la sécurité informatique Kaspersky précise que les pirates « ont utilisé la fonction de réinitialisation du mot de passe et intercepté la requête en utilisant un proxy web ». Les hackers ont pu tromper Instagram, en se faisant passer pour l’utilisateur de chaque compte.
Kaspersky a fourni une explication sur la méthode employée par les pirates: « La procédure d’attaque est relativement simple : en utilisant la version obsolète de l’application, les cybercriminels ont utilisé la fonction de réinitialisation du mot de passe et intercepté la requête en utilisant un Proxy web. Ensuite, ils ont sélectionné une victime et envoyé une requête au serveur d’Instagram sous le nom d’utilisateur ou l’identifiant de la victime. Le serveur renvoie ensuite une réponse JSON comportant les informations personnelles de la victime qui incluent des données sensibles telles que le numéro de téléphone et l’email ».
Des conséquences plus importantes, que celles annoncées par Instagram
Le problème, c’est qu’entre le moment où cette faille faisait parler d’elle sur les forums spécialisés et le moment où Instagram réagissait, semble avoir permis à d’autres groupes de pirates de s’attaquer à la brèche. Un internaute avouait ce weekend avoir réussi à pirater 500000 comptes par heure, pendant 12 heures, avant que la vulnérabilité ne fonctionne plus. Il a indiqué détenir 6 millions de comptes et a dévoilé un échantillon de 10000 comptes piratés pour montrer sa bone foi.
Le spécialiste en cybersécurité Troy Hunt a analysé cet échantillon et a déclaré : « Ma conclusion, c’est qu’on ne trouve rien qui désavoue les données. Il est possible qu’elles aient été compilées depuis d’autres sources, mais toutes les indications montrent qu’elles sont véridiques », ajoutant : « Je me suis penché [sur cette affaire] sérieusement, je suis quasiment sûr que c’est véridique ».
Encore plus grave, même si l’information n‘a pas été officialisée par Facebook, un autre groupe de hackers dit avoir réussi à voler plus de 200 millions de coordonnées personnelles. Ces hackers ont déjà créé un site web et mettent en ventes les mails et numéros de téléphone pour 10 dollars l’unité. On retrouve les coordonnées d’internautes, ce qui devrait intéresser les sociétés de marketing, mais également des téléphones de célébrités, de sportifs et de responsables politiques… On en connait beaucoup qui risquent (si ce n‘est pas déjà fait !) de changer de numéro de téléphone rapidement.
