Passer au contenu

Instagram: plusieurs failles permettaient de pirater n’importe quel compte

Le processus d’authentification de cette application de partage de photo manquait cruellement de fonctions de contrôle et de vérification, ce qui permettait de créer facilement des attaques par force brute.

Ce n’est pas parce qu’un service est très populaire qu’il est également très bien sécurisé. Un exemple: Instagram. Cette application de partage de photos, qui revendique désormais plus de 400 millions d’utilisateurs dans le monde, ne portait jusqu’à peu de temps que peu d’intérêt à la sécurité d’accès des comptes. Quand il s’est penché sur le sujet il y a quelques mois, le chercheur en sécurité belge Arne Swinnen a rapidement trouvé deux vulnérabilités permettant de deviner le mot de passe de n’importe quel utilisateur par force brute. Dans les deux cas, le problème était un manque flagrant de contrôle et de vérification au niveau du processus d’authentification.

La première faille a été trouvée en décembre 2015 et se situait au niveau du serveur qui gère l’authentification dans l’application mobile. Quand le hacker lui envoyait des requêtes d’authentification, celui-ci lui répondait si le mot de passe existait ou non pendant les 1000 premières tentatives. Pendant les 1000 tentatives suivantes, le serveur ne donnait pas d’information pertinente sur le mot de passe. Puis au-delà, il répondait une fois sur deux, sans aucune limite. Ce qui permettait de créer une attaque plutôt simple par force brute. Une fois le mot de passe récupéré, l’attaquant n’avait même pas besoin de changer d’adresse IP pour se loguer.

Open bar

La seconde faille, détectée en février 2016, se trouvait au niveau du site web (www.instagram.com). En envoyant des requêtes de création de comptes légèrement modifiées, le serveur signalait si le mot de passe était bon ou non. Là encore, il répondait sans aucune limite. Après récupération du mot de passe, le chercheur pouvait se loguer en toute tranquillité, sans être bousculé par une quelconque fonction de contrôle. Bref, c’était open bar.

Depuis, Facebook a corrigé ces deux failles en définissant un plafond dans le nombre requêtes qu’un utilisateur peut envoyer. Par ailleurs, Instagram n’accepte plus les mots de passe lorsqu’ils sont trop simples, tel que le fameux « 123456 ». Le service propose même l’authentification à double facteur. C’est un bon début. De son côté, Arne Swinnen a reçu 5000 dollars de récompense.

Ce n’est pas la première fois que cet informaticien de 26 ans est payé par Facebook. En février dernier, à l’occasion de la conférence BSidesSF 2016, il a présenté une dizaine de failles trouvées sur Instagram pour lesquelles il a reçu 10.000 dollars au total. Chapeau (blanc).

Source :

Note de blog d’Arne Swinnen via Hacker News

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN