Ce n’est pas parce qu’un service est très populaire qu’il est également très bien sécurisé. Instagram. Cette application de partage de photos, qui revendique plus de 400 millions d’utilisateurs dans le monde, ne portait jusqu’à peu de temps que peu d’intérêt à la sécurité d’accès des comptes.
un chercheur en sécurité belge Arne Swinnen a rapidement trouvé deux vulnérabilités permettant de deviner le mot de passe de n’importe quel utilisateur par force brute. Dans les deux cas, le problème était un manque flagrant de contrôle et de vérification au niveau du processus d’authentification.
La première faille a été trouvée qui se situait au niveau du serveur qui gère l’authentification dans l’application mobile. Quand le hacker lui envoyait des requêtes d’authentification, celui-ci lui répondait si le mot de passe existait ou non pendant les 1000 premières tentatives. Pendant tentatives , le serveur ne donnait pas d’information pertinente sur le mot de passe. Puis au-delà, il répondait une fois sur deux, sans aucune limite. Ce qui permettait de créer une attaque plutôt simple par force brute. Une fois le mot de passe récupéré, l’attaquant n’avait même pas besoin de changer d’adresse IP pour se loguer.
La seconde faille, détectée, se trouvait au niveau du site web (www.instagram.com). En envoyant des requêtes de création de comptes légèrement modifiées, le serveur signalait si le mot de passe était bon ou non. Là encore, il répondait sans aucune limite. Après récupération du mot de passe, le chercheur pouvait se loguer en toute tranquillité, sans être bousculé par une quelconque fonction de contrôle,c’était open bar.
Facebook a corrigé ces deux failles en définissant un plafond dans le nombre requêtes qu’un utilisateur peut envoyer. Par ailleurs, Instagram n’accepte plus les mots de passe lorsqu’ils sont trop simples, tel que le fameux « 123456 ». Le service propose même l’authentification à double facteur.Un bon début.
En février dernier à l’occasion de la conférence BSidesSF 2016 Arne Swinnen cet informaticien de 26 ans est payé par Facebook, il a présenté une dizaine de failles trouvées sur Instagram pour lesquelles il a reçu 10.000 dollars .