Instagram : Pirater un compte en quelques minutes était possible

pirater un compte Instagram

Il y a quelques jours, un chasseur de bugs a identifié une vulnérabilité critique sur l’application Instagram. Son exploitation permettait à un attaquant de réinitialiser le mot de passe et donc de pirater un compte en quelques minutes seulement. La faille a fort heureusement été colmatée par Instagram.

Une faille de sécurité dans la fonction de récupération du mot de passe

S’il arrive que la mise en place de programme de bug bounty ne débouche que sur la découverte de failles mineures, il arrive également parfois qu’elle conduise à l’identification d’une vulnérabilité critique.

Il y a quelques jours, le chasseur de bugs Laxman Muthiyah a ainsi mis en lumière une faille particulièrement critique sur Instagram. Plus précisément, c’est dans la fonction de récupération du mot de passe que se trouvait ce défaut de sécurité.

Reposant sur l’envoi d’un code secret à 6 chiffres (valable 10 minutes) sur un terminal mobile ou sur une adresse électronique lié au compte, cette fonction se révélait assez simple à duper via des attaques de type force brute. En effet, puisqu’il n’existe qu’un million de combinaisons, un hacker pouvait multiplier les tentatives afin de pirater un compte Instagram dans le délai de 10 minutes dont il dispose.

Le chercheur de bugs a d’ailleurs pris soin de montrer sur YouTube comment cela marchait et le grand public peut ainsi constater qu’il teste plus de 200 000 combinaisons sans qu’aucun dispositif de sécurité ne le bloque.

Pirater un compte Instagram n’est désormais plus possible

Suite à la découverte de cette vulnérabilité critique permettant de pirater un compte en quelques minutes seulement, Instagram ne peut que se réjouir d’avoir mis en place un programme de bug bounty.

Eh oui, même si Facebook — le propriétaire d’Instagram — aura dû verser 30 000 dollars à Laxman Muthiyah pour sa trouvaille, la société américaine démontre qu’elle accorde une réelle attention à la sécurité de son application.

Bien évidemment, la vulnérabilité identifiée a été colmatée et il n’est donc plus possible de pirater un compte via la force brute. Pour autant, les utilisateurs seraient bien inspirés de miser sur l’authentification à doubles facteurs afin d’améliorer la protection de leur compte contre le piratage.

No votes yet.
Please wait...

Be the first to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée.


*


Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.