Cette semaine, nous apprenons que des pirates se sont emparés de comptes Instagram à très forte visibilité, en leur demandant une rançon. Au moins quatre influenceurs Instagram ont perdu le contrôle de leurs comptes et ont reçu des demandes d’envoi de bitcoins pour pouvoir reprendre la main, mais dans certains cas, les cybercriminels ont conservé le contrôle ou ont supprimé les comptes.
Motherboard a annoncé que Kevin Kreider, influenceur fitness sur Instagram basé à Los Angeles, avait perdu le contrôle de son compte Instagram et de plus de 100 000 followers après avoir été victime d’une attaque de phishing. Les pirates en question lui ont envoyé un email malveillant lui proposant un contrat de sponsoring avec French Connection, lequel l’a conduit vers un faux portail Instagram qui lui a ensuite volé les informations concernant son compte.
Cassie Gallegos-Moore, qui utilisait le handle Instagram theadventurebitch, a écrit sur son blog au sujet de la perte de contrôle de son compte au profit de pirates qui ont modifié l’email utilisé pour y accéder. Ils ont temporairement bloqué le compte et demandé une rançon, menaçant de supprimer le compte dans les trois heures si elle ne payait pas. Gallegos-Moore, qui comptait 57 000 utilisateurs sur son compte, leur a envoyé 122 dollars (environ 105€) en bitcoins.
Alors que Kreider a finalement réussi à reprendre le contrôle de son compte, Gallegos-Moore n’y était toujours pas parvenue au moment d’écrire cet article. Au lieu de cela, elle a renommé un compte de sauvegarde afin qu’il devienne le compte Adventurebitch d’origine, mais elle comptait moins de 100 followers au dernier décompte. Elle a fustigé Instagram pour avoir leur avis sur ce piratage.
Bien qu’on ne sache pas vraiment comment elle a perdu son compte, ce type de piratage de comptes Instagram est devenu monnaie courante !
En août, l’entreprise a blogué en réponse à des signalements selon lesquelles des centaines de comptes avaient été piratés. Cet article de blog peut vous donner une première piste :
Notre authentification à deux facteurs actuelle permet aux utilisateurs de sécuriser leur compte par SMS. Nous travaillons également sur une fonctionnalité à deux facteurs additionnelle sur laquelle nous communiquerons prochainement.
L’authentification à deux facteurs par SMS (2FA) rend l’utilisateur vulnérable vis-à-vis d’une attaque appelée SIM SWAP, au cours de laquelle des pirates utilisent des techniques d’ingénierie sociale pour inciter des employés de l’opérateur de téléphonie à basculer le numéro d’un téléphone particulier vers une nouvelle carte SIM. Cette technique permet ensuite aux cybercriminels d’accéder aux SMS utilisés dans l’authentification 2FA et d’accéder au compte. En 2016, le NIST a déconseillé l’utilisation des SMS dans le cadre du 2FA.
Le piratage de comptes Instagram de célébrités a déjà eu lieu. Selena Gomez, qui comptait à l’époque 125 millions de followers, a eu son compte piraté en août 2017, et à priori une personne avec trop de temps libre a posté des photos nues de son ex-petit ami, Justin Bieber.
Quelques jours plus tard, Instagram a confirmé que des pirates avaient volé des informations personnelles au niveau de comptes utilisateur très en vue, en exploitant un bug dans le système qui gère les numéros de téléphone.
Les pirates avaient déjà exploité ce bug pour collecter des informations personnelles sur près de six millions de comptes Instagram, a révélé le Daily Beast. Ils avaient créé une base de données avec toutes les données récupérées, contenant tous les comptes Instagram avec plus d’un million de followers, et avaient demandé 10$ (environ 8.5€) par recherche.
Utilisez l’authentification via une application pour sécuriser votre compte
De nombreuses personnes investissent tellement de temps et d’efforts dans leurs comptes sur les réseaux sociaux que ces piratages peuvent affecter leur marque, leur réputation et leur capacité à générer du chiffre d’affaires. Avec des attaques telles que le phishing et le SIM SWAP, qui sont de plus en plus répandues, des protections renforcées sont plus importantes que jamais !
Instagram a annoncé plus tôt cette année une amélioration de son système 2FA par SMS, doté d’une sécurité renforcée permettant la prise en charge de l’authentification via une application mobile.
Voici comment configurer votre compte Instagram pour utiliser une application d’authentification tierce :
- Allez sur votre profil.
- Allez sur “Modifier le profil”.
- Sélectionnez “Sécurité et confidentialité”.
- Choisissez “Activer l’authentification à deux facteurs”.
- Sélectionnez “App d’authentification”.
- Si vous avez déjà installé une application d’authentification, Instagram la trouvera automatiquement et lui enverra un code de connexion. Dans ce cas…
- Accédez à l’application, récupérez le code et entrez-le sur Instagram. Cela activera automatiquement le 2FA.
- Si vous n’avez pas déjà installé d’application d’authentification, Instagram vous dirigera vers l’App Store d’Apple ou Google Play pour télécharger l’application de votre choix (Sophos vous propose une solution : pensez à télécharger Sophos Authenticator, qui est également inclus dans notre version gratuite de Sophos Mobile Security pour Android et iOS). Une fois que vous avez installé votre authentificateur choisi, retournez sur Instagram pour continuer à configurer le 2FA.
Twitter a ajouté la prise en charge des clés de sécurité FIDO Universal 2nd Factor (U2F) cet été et Facebook prend également en charge les applications d’authentification mobile.
Billet inspiré de Hackers demand ransom from hijacked Instagram influencers, sur Sophos nakedsecurity.