Piratage d’Instagram: les coordonnées de 6 millions de comptes dans la nature

Il y a quelques jours les responsables d'Instagram avaient avoué que certains comptes avaient été piratés, mais il semble que la portée du piratage soit un peu plus importante que les chiffres avancés en premiers lieux.

Si vous suivez l’actualité high-tech de près, vous n’avez sans doute pas raté que le 30 août, le service de partage de photos Instagram a avoué que des accès illégitimes avaient eu lieu sur certains comptes appartenant à des personnalités. Il aurait été difficile de dissimuler les faits puisque des photos de Justin Bieber en tenue d’Adam avaient fuité suite à un accès illégitime sur le compte de sa petite amie Selena Gomez le 28 août.

Des données non cryptées ont filtrées lors du piratage d’Instagram

Depuis les chercheurs de Kaspersky sont parvenus à comprendre l’origine du problème ayant conduit à ce piratage et indiquent que les hackers ont exploité un bug de l’application mobile, dans sa version 8.5.1, ce qui leur a permis d’obtenir notamment des adresses e-mails et numéros de téléphone des utilisateurs et de pouvoir dérober des photos privées.

Kaspersky précise que les pirates « ont utilisé la fonction de réinitialisation du mot de passe et intercepté la requête en utilisant un proxy web ». De cette façon, ils ont pu tromper Instagram en se faisant passer pour l’utilisateur.

Peu après le piratage, Certains chiffres avancés, bien que difficile à mesurer, faisaient état de 100000 comptes touchés, mais ils semblent que les dégâts pourraient être plus important et jusqu’à 6 millions de comptes pourraient avoir été piraté de la sorte. Un mystérieux internaute a avoué à Ars Technica avoir réussi à utiliser cette vulnérabilité peu avant qu’Instagram e réagissent pour corriger la vulnérabilité et avoir réussi à voler les coordonnées de 500000 comptes par heure pendant 12 heures, avant que la faille en fonctionne plus.

6 millions de comptes probablement touchés

Pour prouver ces dires, il aurait envoyé anonymement un échantillon de 10000 comptes à Ars Technica et après analyse, il semble que les comptes soient réels.

Le spécialiste en cybersécurité Troy Hunt a personnellement étudié ce fichier et a indiqué dans un premier temps : « Ma conclusion, c’est qu’on ne trouve rien qui désavoue les données. Il est possible qu’elles aient été compilées depuis d’autres sources, mais toutes les indications montrent qu’elles sont véridiques », ajoutant peu après : « Je me suis penché [sur cette affaire] sérieusement, je suis quasiment sûr que c’est véridique. ».

Il est donc possible que les coordonnées (mail et numéro de téléphone) de 6 millions d’utilisateurs soient aujourd’hui dans la nature. Le mystérieux pirate a d’ailleurs indiqué avoir mis en vente le fichier sur d’obscurs forums spécialisés et réclame 10 dollars par compte piraté. Sachant qu’un grand nombre concerne des comptes de personnalités, il est facile d’imaginer que ce dernier trouvera rapidement preneurs…