Passer au contenu

Un bug Instagram aurait pu donner le contrôle total de votre compte aux hackers

Facebook a corrigé une vulnérabilité Instagram qui pouvait transformer votre smartphone en espion.

Spécialisée en cybersécurité, la société Check Point a découvert une faille de sécurité majeure dans l’application Instagram. Elle a informé Facebook, qui a été en mesure de corriger la vulnérabilité avant de publier un document où il évoque cette dernière plus en détail.

Un contrôle absolu de votre compte Instagram (… et pas que)

Jugée « critique », la faille en question concerne « le traitement des images d’Instagram ». Plus concrètement, elle permettait à des personnes mal intentionnées d’utiliser une image préalablement trafiquée afin d’entraîner un bug dans l’application.

Grâce à celui-ci, il était possible d’exécuter plusieurs actions malveillantes. Ces dernières allaient du vol de compte au lancement du micro ou de la caméra, rien de très rassurant donc. Instagram demande de nombreux accès à l’utilisateur afin de pouvoir être utilisé pleinement, que ce soit celui du micro, de la caméra, mais aussi des photos, des contacts ou encore des données de géolocalisation. Autant de données (très) personnelles qui étaient vulnérables à cause de cette faille, en plus du vol de comptes qui donne un accès direct aux fichiers multimédias et échanges privés des utilisateurs.

Les images en question pouvaient être envoyées via plusieurs canaux, que ce soit les SMS, les emails ou les messageries comme WhatsApp puis il suffisait qu’elles soient enregistrées sur le téléphone de la victime.

Pour que la faille puisse être exploitée, les pirates informatiques avaient simplement à modifier une image afin qu’Instagram juge que son format était trop petit —alors qu’il était de grande taille. S’en suivait un bug du module de compression, une faille parfaite pour des personnes mal intentionnées souhaitant exécuter des actions à distance par le biais de l’application de photo. N’importe quelle image, au nombre d’une seulement, était suffisante pour entraîner le bug nécessaire à l’exploitation de la vulnérabilité.

Facebook a rapporté cette faille sous le nom CVE-2020-1895, un avis qui évoque le bug du module de compression mis en avant par les chercheurs en sécurité de Check Point. Celui-ci concernait spécifiquement Mozjpeg, un décodeur JPEG open source imaginé par Mozilla. Celui-ci a été mal configuré par les développeurs de Facebook lors de la mise en service, ce qui a permis la vulnérabilité.

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Instagram
Instagram
Par : Instagram, Inc.
4.3 / 5
155,3 M avis
Cliquer pour commenter
Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *