Une faille de sécurité dans l’Instagram pourrait avoir donné un accès inapproprié à n’importe quel compte de réseau social. La faille dans le système de réinitialisation des mots de passe a permis à une personne malveillante de modifier les informations d’accès d’une victime sans même avoir un code de vérification sous la main.
La vulnérabilité a été découverte par le chercheur en sécurité Laxman Muthiyah, qui est déjà apparu ici : c’est le même qui a signalé une faille qui permettait de supprimer les albums photos de n’importe qui sur Facebook ( !). Muthiyah a de nouveau suivi le protocole et a décrit la faille de manière responsable au réseau social ? qui a déjà réglé le problème.
L’idée est simple : lorsque vous cliquez sur le lien “J’ai oublié mon mot de passe” dans Instagram, le réseau social vous envoie un code de vérification par courrier électronique ou SMS pour s’assurer que vous êtes bien le propriétaire du compte. Le code de vérification comporte six chiffres, ce qui signifie qu’il y a un million de combinaisons possibles. Et si vous pouviez essayer chaque numéro le plus rapidement possible, de 000000 à 999999, en utilisant la force brute ?
Muthiyah a fait le test et a constaté qu’Instagram bloquait les tentatives de réinitialisation automatique des mots de passe après environ 200 essais. Le fait est que ce blocage a été appliqué par IP ? s’il changeait d’IP, il serait possible de faire 200 tentatives supplémentaires.
C’était donc facile : il suffisait d’avoir des milliers d’adresses IP différentes sous la main pour effectuer des centaines de milliers de tentatives en moins de 10 minutes, ce qui correspond à la durée de validité d’un code de vérification. En théorie, avec 5 000 ordinateurs, chacun effectuant 200 tentatives, il serait possible de couvrir toutes les combinaisons possibles. En pratique, Muthiyah a fait le test, en utilisant un millier de PI différents pour faire 200 000 tentatives.
Cela semble très inhabituel, mais il n’est pas si difficile de contrôler 5 000 ordinateurs aujourd’hui ? surtout avec les millions d’équipements zombies disséminés sur Internet, comme des PC obsolètes et des caméras de sécurité vulnérables. Et selon M. Muthiyah, si vous utilisiez Amazon ou le service de cloud computing de Google pour faire l’attaque, cela coûterait environ 150 euros.
Facebook a corrigé la faille et, en récompense, a versé 30 000 euros au chercheur.