Pour gérer vos consentements :
Categories: Mobilité

Instagram : 30 millions d’amis et une faille de sécurité

Grosse frayeur pour les quelque 30 millions de membres d’Instagram.

Un expert en sécurité a révélé au grand jour une faille – corrigée depuis lors – qui permettait à quiconque d’accéder aux éléments de profil et aux photos, même privées, de n’importe quel utilisateur.

L’artifice reposait sur une attaque de type force brute par laquelle un assaillant pouvait se faire l’ami de tous les inscrits sans exception et de surcroît sans leur consentement.

Ces desseins malveillants impliquaient donc de contourner le système d’approbation bipartite utilisé pour nouer un lien d’amitié entre deux comptes.

Qui a découvert la faille ?  Un chercheur dénommé Sebastian Guerrero qui a appliqué, pour l’exemple, la démonstration à Mark Zuckerberg.

Il a exploité une vulnérabilité dans le traitement de la requête USER_ID, ce qui lui a donné accès aux photos privées du dirigeant de Facebook.

Tout se joue lors de l’appel à l’API. Pour vérifier si une personne est amie avec une autre, la commande GET http://instagram.com/api/v1/users/USER_ID/info/ HTTP/1.1 est sollicitée. Y est associé un hash (clé alphanumérique unique).

Pour accepter une demande, c’est la commande POST http://instagram.com/api/v1/friendships/approve/USER_ID/ HTTP/1.1.

Pour la rejeter, seul change le paramètre approve, qui devient ignore. Mais le hash reste le même.

Sebastian Guerrero est parvenu à tirer à profit cette ressemblance pour détourner les requêtes adressées aux serveurs d’Instagram et valider automatiquement les demandes d’ajout en tant qu’ami.

L’expert en sécurité IT n’est toutefois pas parvenu à déterminer si des pirates s’y étaient essayés auparavant. Il en a notifié Instagram, qui a résorbé la faille sur-le-champ.

Plate-forme de retouche et de partage de photos créée en janvier 2011 à l’initiative de Mike Krieger et Kevin Systrom, Instagram est accessible sur le Web et via des applications mobiles.

Début avril, peu avant son entrée en Bourse, Facebook y a investi 1 milliard de dollars (alors l’équivalent de 762 millions d’euros) en actions et en cash… pour hériter de cette faille.

Crédit image : © auryndrikson – Fotolia.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

3 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

5 mois ago