Instagram : une faille donne accès aux données privées des utilisateurs

Un chercheur en sécurité a découvert qu'il était possible d'accéder aux données privées des utilisateurs de l'application mobile de partage de photos de Facebook. Décryptage de la faille.

Une faille a été découverte dans l'application mobile de partage de photos Instragram, acquise en avril par Facebook. Elle a été mise au jour par l'expert en sécurité Sebastian Guerrero, qui l'a baptisée "vulnérabilité de l'amitié". Grâce à cette faille, le hacker a montré qu'il était possible de devenir l'ami d'un utilisateur, sans avoir été validé par ce dernier, et ainsi pouvoir accéder à l'ensemble de ses données privées : photos, profils, et autres informations.

"Il s'agit d'un déficit de sécurité dans la gestion des approbations de demandes d'amitié", explique Sebastian Guerrero sur son blog. "La faille permet de lancer une attaque par force brute pour être ajouté comme ami à n'importe quel compte Instragram".

Concrètement, la méthode d'exploitation de la faille consiste à modifier des paramètres dans les requêtes lancées sur l'API d'Instragram. Sebastian Guerrero a commencé par analyser les requêtes HTTP d'autorisation d'accès en tant qu'ami. Il s'est rendu compte que la valeur de hachage générée lors d'un rejet d'une demande d'amitié pouvait être reprise en l'état pour créer une requête d'accès valide comme ami, et ce simplement en remplaçant le paramètre Ignorer (ignore) par le paramètre Approuver (aprove). Un jeu d'enfant.

Sebastian Guerrero précise avoir informé Instagram de l'existence de la faille. La société a corrigé presque immédiatement le problème. Sur son site, elle précise n'avoir aucune preuve que la faille ait été exploitée à grande échelle.


Facebook / Faille