Faille critique dans Instagram
Instagram souffre d’une faille de sécurité mise au jour par le chercheur Carlos Reventlov. Prévenues le 11 novembre, les équipes de l’application et de son propriétaire Facebook n’ont pas encore donné suite, c’est pourquoi le spécialiste lâche l’affaire dans la nature, en espérant que des mesures rapides soient prises. La vulnérabilité permet à un hacker de prendre possession des photos et de certaines données, à l’insu de l’utilisateur.
Lorsqu’un usager de l’app se connecte à son compte Instagram depuis l’application, un cookie non crypté parvient aux serveurs du service de partage de photos. En cas d’interception, ce cookie peut dès lors servir à accéder aux informations de l’utilisateur, à sa bibliothèque d’images ainsi que celles de son réseau. Et pourquoi pas les modifier, voire les supprimer. Il est aussi possible de consulter et de changer les informations du compte. Toutefois, cette faille ne s’entend que si le pirate est sur le même LAN que sa victime.
Le correctif est relativement simple : Instagram doit recevoir ces données sensibles via HTTPS. Le service n’est d’ailleurs pas le seul à se montrer léger à ce niveau, prévient Reventlov : de nombreuses applications iOS agissent de même, mais très peu de l’importance d’Instagram (et c’est heureux).
