instagram

Une faille sur Instagram permettait de pirater un compte en 10 minutes

Instagram, le réseau social de partage de photos qui appartient à Facebook, a récemment patché une vulnérabilité critique qui aurait permis aux pirates de compromettre n’importe quel compte Instagram sans même interagir avec les utilisateurs ciblés.

Apparemment il était possible de faire un reset du mot de passe à distance sur n’importe quel compte et prendre le contrôle.

Découverte et signalée par le chasseur de bug Indien, Laxman Muthiyah, la vulnérabilité résidait dans le mécanisme de récupération de mot de passe implémenté dans la version mobile d’Instagram.

Le “reset du mot de passe” ou la “récupération de mot de passe” est une fonctionnalité qui permet aux utilisateurs de regagner l’accès à leur compte sur un site si ils oublient leur mot de passe.

Sur Instagram, les utilisateurs doivent confirmer un code secret à 6 chiffres (qui expire après 10 minutes) qui est envoyé vers leur numéro de téléphone associé à leur compte ou leur adresse email pour prouver leur identité.

Cela veut dire qu’il y’a un million de combinaisons possibles en utilisant une attaque de force brute, mais ce n’est pas aussi simple car Instagram limite le nombre de tentatives pour se protéger de ce genre d’attaques.

Cependant, Laxman a découvert que cette limite peut être contourné en utilisant différentes adresses IP pour envoyer des requêtes de force brute, cela rend aussi l’attaque beaucoup plus rapide.

Comme montré dans la vidéo plus haut, Laxman a démontré comment prendre le contrôle d’un compte Instagram en tentant 200 000 différentes combinaisons (20% des combinaisons possibles) sans se faire bloqué.

“Dans un vrai scénario d’attaque, le pirate aura besoin de 5000 adresses IP différentes pour pirater un compte. On a l’impression que c’est énorme, mais c’est très facile si vous utilisez un service de cloud fourni par Amazon ou Google. Cela coûterait à peu près 150 dollars pour effectuer une attaque complète de 1 million de code secret à 6 chiffres.”

Laxman a aussi publié un exploit proof-of-concept de la vulnérabilité, qui a maintenant été patché par Instagram. La compagnie a récompensé Laxman avec une prime de $30 000 grâce à leur programme bug bounty.

Comment protéger votre compte Instagram?

Pour protéger vos comptes contre les différentes attaques en ligne, il est recommandé d’activer “l’authentification à deux facteurs,” ce qui empêche les hackers d’accéder à votre compte même si ils arrivent à subtiliser votre mot de passe.

Si cet article vous a plu, jetez un œil à notre précédent article lié à Instagram.

Leave a Reply