Dans certaines conditions, utiliser l’application Instagram sur son iPhone est déconseillé : une faille permet aux pirates de prendre le contrôle de comptes utilisateurs. Comment protéger ses photos personnelles contre ce risque ?
Instagram est une application photo très populaire chez les mobinautes : elle permet de faire de belles retouches sur les clichés (grâce à des filtres automatiques) et de les partager avec ses amis ou sur les réseaux sociaux. Un chercheur en sécurité, Carlos Reventlov, a cependant mis en évidence une faille inhérente au programme sur iPhone, qui rend possible le piratage de compte par des hackers. Il en a informé Instagram le 11 novembre dernier, mais la faille semble toujours d’actualité…
Comment un hacker peut-il accéder à mon compte Instagram ?
Lorsque l’on ouvre l’application sur son iPhone, elle envoie automatiquement au serveur Instagram un cookie qui gère l’authentification. Le problème est que ce cookie est envoyé « en clair », c’est à dire de façon non-chiffrée. Par conséquent, si un hacker connecté au même réseau intercepte cet envoi de cookie, il peut le capturer et le lire. A partir de là, il peut créer des requêtes HTTP spéciales qui lui permettent d’obtenir des données personnelles, de copier des clichés, de supprimer des photos, d’accéder aux images des amis de la victime, voire même d’usurper l’identité du propriétaire d’un compte.
La faille résulte donc de la combinaison de deux facteurs :
- Du côté de l’application : l’envoi non-chiffré de cookies
- Du côté de l’utilisateur : la connexion à un réseau partagé (ex : hotspot Wi-Fi)
Comment ne pas être victime de cette faille Instagram ?
L’idéal serait qu’Instagram parvienne à chiffrer la communication entre l’application et le serveur, lors de la transmission des cookies. Selon Carlos Reventlov, une simple connexion en HTTPS suffirait à sécuriser les communications sensibles. Pour l’heure, Instagram ne semble pas encore avoir appliqué ce principe simple.
En attendant, c’est donc à l’utilisateur de prendre ses précautions, et de s’assurer qu’aucun pirate potentiel ne puisse se connecter au même réseau que lui pour intercepter ses cookies :
- Ne jamais utiliser Instagram si vous êtes connecté à Internet via un hotspot Wi-Fi (aéroport, restaurant, hôtel, etc.)
- Eviter les connexions Wi-Fi en général, notamment quand la sécurité du réseau Wi-Fi est faible ou inconnue
- Préférer la connexion en 3G (Data) pour plus de confidentialité.
Carlos Reventlov conclut : « J’ai trouvé que beaucoup d’applications pour iPhone comportaient des failles, mais très peu sont des applications aussi populaires qu’Instagram« . Une information importante qui nous rappelle que pour utiliser une application (qui nécessite Internet) ou pour se connecter à un espace personnel (mail, réseaux sociaux, etc.), il faut impérativement bénéficier d’un accès Internet sécurisé. Donc a priori pas en Wi-Fi !
Source : bitdefender.fr