Le week-end s’annonce difficile pour la direction d’Instagram. Un pirate annonce avoir mis la main sur plus de 6 millions de données personnelles d’utilisateurs de ce service en ligne. Et pour le prouver, il a transmis un échantillon de 10 000 données au site Ars Technica, qui les a analysées avec l’aide du chercheur en sécurité Troy Hunt. L’échantillon n’est pas bidon. Les données correspondent à de véritables comptes Instagram. On y trouvent des emails et des numéros de téléphone, mais pas de mots de passe.
Le pirate a créé une boutique dans le Darknet pour écouler sa marchandise. Baptisée « Doxagram », elle est uniquement accessible par le navigateur Tor baptisé et propose les données avec un prix de 10 dollars par compte piraté. Il propose également une vente par lot à prix négocié. Un rapide test nous montre que ce site référence les données personnelles par exemple de Justin Bieber et Kirsten Dunst.
Le pirate a posté des messages publicitaires sur des forums web dans lequel il explique pouvoir récupérer les données personnelles de célébrités « que personne d’autre ne peut avoir avec un service garanti ».
Comment ce pirate a-t-il pu mettre la main sur ces données? Pour l’instant, il n’a fourni aucune explication à ce sujet. Il y a quelques jours, Instagram avait confirmé l’existence d’une faille dans son API permettant d’accéder aux données personnelles des comptes utilisateurs. Hier, l’éditeur a d’ailleurs publié une note d’excuse sur son site. Mais il n’est pas dit que le pirate ait utilisé ce vecteur d’attaque. Selon les chercheurs en sécurité de Kaspersky, la faille dans l’API d’Instagram était basée sur une procédure déficiente de récupération de mot de passe.
Reported the #instagram mobile API "bug" in password reset, before publication, to #Facebook. pic.twitter.com/BKyvb42wVT
— Ido Naor 🇺🇦 (@IdoNaor1) September 1, 2017
Mais selon Kaspersky, ce bug ne permettait qu’une extraction manuelle des données, un compte après l’autre. Or, d’après Ars Technica, le pirate aurait mis en oeuvre une extraction automatique, à raison d’un million de comptes par heure. A ce rythme là, il lui faudrait un mois pour siphonner la totalité des 700 millions de comptes utilisateurs d’Instagram. Le pirate dispose-t-il d’une autre faille pour accéder aux données personnelles d’Instagram? Cet accès est-il toujours disponible? Difficile de le savoir à l’heure actuelle. De son côté, Instagram n’a pas apporté plus d’information sur le sujet.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.