Depuis l’annonce officielle du piratage de la plateforme Instagram le 30 août, le spécialiste de la sécurité informatique Kaspersky a eu le temps de se pencher sur la question et a mis en évidence que la vulnérabilité était présente sur la version mobile d’Instagram 8.5.1, lancée en 2016.
Piratage d’Instagram: les conséquences semblent plus importantes, que celles annoncées en fin de semaine
Kaspersky explique: “La procédure d’attaque est relativement simple : en utilisant la version obsolète de l’application, les cybercriminels ont utilisé la fonction de réinitialisation du mot de passe et intercepté la requête en utilisant un Proxy web. Ensuite, ils ont sélectionné une victime et envoyé une requête au serveur d’Instagram sous le nom d’utilisateur ou l’identifiant de la victime. Le serveur renvoie ensuite une réponse JSON comportant les informations personnelles de la victime qui incluent des données sensibles telles que le numéro de téléphone et l’email“.
Le question est, de combien de temps ont disposé les pirates pour exploiter cette faille ? De plus, la révélation publique de la faille et le correctif tardif ont permis à d’autres hackers de s’engouffrer dans la brèche. Au départ, Instagram annonçait le piratage d’une centaine de milliers de comptes, principalement “certifiés”, c’est à dire des comptes de personnalités. Pourtant, ce weekend, un mystérieux internaute dit avoir extrait en fin de semaine l’équivalent de 6 millions de comptes en 12 heures. Pour prouver ses dires, il a envoyé à Ars Technica un échantillon de 10000 comptes, qui après vérification se sont avérés réels. Une information confirmée par le spécialiste en cybersécurité Troy Hunt.
Est-il possible que 200 millions de comptes soient touchés ?
Un autre groupe de pirates va même plus loin en indiquant détenir les coordonnées personnelles (nom, prénom, numéro de téléphone et adresse mail) de plus de 200 millions de comptes ! L’information n’a pas pu être vérifiée pour le moment, mais les pirates en question ont déjà créé un site web permettant d’acheter les données de comptes au cas par cas ou par paquets, via des paiements en bitcoin.
Seule certitude les mots de passe n’ont pas été dérobés, uniquement les données personnelles en clair. Il est donc prudent d’observer une extrême vigilance dans les semaines à venir, car avec ces données certains pirates seront dans la capacité de faire des demandes de changement de mot de passe, afin de prendre le contrôle des comptes. Il est aussi probable que certains petits malins tenteront d’utiliser des attaques par Phishing pour obtenir le mot de passe.
De nombreuses célébrités, sportifs ou personnalités politiques ont vu leur numéro de téléphone et leur mail mis en vente pour seulement 10 dollars. Une des premières victimes à avoir souffert de cette faille le 28 août, c’est Justin Bieber, par le biais du compte piraté de sa petite amie Selena Gomez. Le compte de cette dernière s’est mis à publier des photos de la star dévêtue…
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
