Connexion HTTP non sécurisée : le retour… sur Instagram !
Stevie Graham, un expert en sécurité informatique qui a récemment décelé une faille au sein de l’IOS d’Instagram, s’est vu refuser un « Bug Bounty », de la part de Facebook.
Cette réaction est davantage due à un manque de nouveauté, qu’à une absence de danger réel, provenant de cette faille (en effet, des articles en parlaient déjà en 2012).
Ainsi, Graham a rendu public le mode d’emploi pour pirater les comptes Instagram :
Pour ce faire, vous avez besoin d’un wifi partagé, d’ un renifleur de paquets (packet snifer), et bien sûr d’une volonté farouche d’enfreindre la loi en violant la vie privée d’autrui.
Dit plus simplement, ce type d’attaque ressemble fortement au cas Firesheep.
La sécurité sur les réseaux sociaux dans les années 2010
En 2010, les réseaux sociaux tels que, Twitter et Facebook géraient l’authentification des sessions ainsi :
Ainsi, vous ne pouviez pas “renifler” le mot de passe de l’utilisateur pour la prochaine fois, par contre vous pouviez “renifler” son cookie de session, et pirater sa session Twitter ou Facebook en temps réel.
Firesheep ?
Firesheep était un plugin qui automatisait le processus d’attente d’une connexion d’un utilisateur, et le vol de son cookie de session.
Cela devenait un vrai jeu du type “pointer-cliquer”, pour prendre la main sur les comptes, du moins jusqu’à ce que l’utilisateur réalise ce qui était en train de se passer, et finalement se déconnecte.
Le réel objectif pour Firesheep, malgré une claire incitation au piratage, était de créer une confusion au niveau de public assez importante, pour inciter des services tels que Twitter et Facebook, à l’utilisation de connexions HTTPS sécurisées, de manière permanente.
Et c’est exactement ce que Facebook, Twitter et d’autres ont fini par faire, car en effet la connexion HTTP sécurisée (HTTPS) résolvait le problème : pas de cookie de session non crypté à « renifler » signifiait pas de session à pirater.
2010 : connexion HTTP le retour !
Un bond en avant de presque 4 ans, et nous voilà avec une application iOS d’Instagram, qui fonctionne quasiment de la même manière que celle décrite plus haut, dans le processus d’ouverture de session en 3 étapes.
En d’autres termes, la connexion HTTP non sécurisée est autorisée après le login.
Ainsi, les utilisateurs d’Instagram, munis d’iPhones ou d’iPads peuvent être piratés assez facilement, selon Stevie Graham.
Si simplement, qu’il fourni 5 étapes pour le faire :
Aie, Aie, Aie !!
La prochaine étape ?
Nous avons juste une chose à dire à ce sujet : Ne le faites surtout pas ! (Ne le faites pas, à moins d’avoir l’accord explicite du propriétaire du compte concerné).
Ceci n’est pas vraiment bienveillant et certainement illégal, où que vous viviez !
Espérons que si cela est si simple que le prétend Stevie Graham, Facebook y remédiera très rapidement.
Entre temps, vous allez probablement arrêter de vous connecter à Instagram avec votre iPhone ou votre iPad.
Plus largement, nous pouvons nous inquiéter du niveau de sécurité des applications mobiles, en général, car nous n’arrêtons pas d‘écrire sur ce sujet, et de souligner le retard en matière de protection de la vie privée. Devons nous songer à créer un chaos significatif sur ce thème, pour enfin permettre d’élever le niveau global de sécurité ?
Billet inspiré de : “How anyone can hack your Instagram account” par Paul Ducklin de Naked Security.
Partagez “Connexion HTTP non sécurisée : le retour … sur Instagram !” avec http://bit.ly/1zXbeGr
