mots de passe en clair
Produits et Services PRODUITS & SERVICES

Des mots de passe en clair, révélés accidentellement par Instagram dans des URLs !

Un bug dans l'outil "télécharger les données" d'Instagram n'a touché, à priori, qu'une poignée d'utilisateurs. Cependant, cette faille a tout de même affiché les mots de passe en clair de ses utilisateurs dans l’URL de leur navigateur !

En avril dernier, alors que la date d’entrée en vigueur du RGPD, accompagné de ses exigences en matière de portabilité des données, approchait, Instagram a publié le très attendu outil pour “télécharger les données“. Cette fonctionnalité permettait aux utilisateurs de télécharger des images, des publications et des commentaires.

Malheureusement, Instagram a transformé le téléchargement de vos données en un exercice consistant à exposer les mots de passe en clair de ses utilisateurs. Heureusement, le bug de l’outil “télécharger les données” n’a touché qu’une poignée d’utilisateurs, a déclaré le réseau social de partage en ligne.

Comme The Information l’a signalé la semaine dernière, Instagram a déclaré aux utilisateurs concernés jeudi soir que s’ils utilisaient la fonctionnalité “télécharger les données”, leurs mots de passe en clair seraient alors affichés dans l’URL de leur navigateur.

Il semble que le problème se soit produit après que les utilisateurs aient appuyé sur “Entrée“, après avoir saisi leur mot de passe, au lieu d’appuyer sur le bouton “Soumettre“.

Cela pourrait ne pas être un gros problème pour un utilisateur, assis chez lui, devant un ordinateur non partagé, mais comme Facebook, qui possède Instagram, l’a déclaré dans sa notification aux utilisateurs, cela signifie que des internautes qui auraient utilisé l’outil sur un ordinateur public, dans une bibliothèque par exemple, pourraient se retrouver avec leurs mots de passe en clair affichés dans l’URL : un bien malheureux cadeau pour tous les petits curieux qui auraient pu être présents dans les environs ou avoir accès à l’historique de navigation.

Le protocole HTTPS aurait assuré le chiffrement des URLs en transit et aurait permis qu’elles soient invisibles pour quiconque aurait scruté le réseau, mais le problème majeur reste ce qui s’est réellement passé lorsque la demande “télécharger les données” est arrivée à destination, à savoir chez Instagram.

Les mots de passe sont des secrets étroitement gardés alors que les URLs ne le sont pas. Les entreprises les gèrent donc très différemment. Les mots de passe sont généralement transformés en hashs salés avant d’être stockés, de sorte que personne, pas même les administrateurs, ne peuvent les voir, alors que les URLs sont régulièrement journalisées dans des bases de données ou des fichiers log afin que les administrateurs puissent les consulter.

C’est un peu comme si on traitait une donnée censée porter la mention “Top Secret” comme si elle portait simplement la mention “diffusion restreinte”.

The information a cité un porte-parole d’Instagram qui a déclaré que le problème avait été…

… découvert en interne et avait touché un nombre très limité de personnes. 

Facebook n’a pas précisé si le compte Instagram de quiconque avait été compromis à cause de cette erreur et Sophos a appris qu’Instagram était en train de supprimer tous les mots de passe qui avaient éventuellement été journalisés, de manière accidentelle, par ses systèmes.

Nous avons déjà vu, récemment, de plus gros problèmes

De plus gros problèmes, en effet. Nous ne connaissons pas la définition exacte du terme “petit”, donnée par Facebook/Instagram, en matière de violation, mais nous savons que leurs pratiques de sécurité ont conduit à une violation massive chez Facebook en septembre dernier, avec un total qui pourrait avoisiner les 30 millions de comptes concernés et 40 millions de comptes supplémentaires réinitialisés par simple “mesure de précaution”.

Les pirates ont exploité une vulnérabilité au sein de la fonctionnalité “Voir en tant que” de Facebook pour voler des jetons d’accès, qui sont les clés qui vous permettent de rester connecté à Facebook, sans voir à saisir votre mot de passe à chaque fois que vous utilisez l’application. Du moins dans les premiers jours qui ont suivi l’attaque, Facebook a déclaré qu’il semblait que la faille avait été créée lorsque les développeurs avaient modifié la fonctionnalité d’uploading des vidéos en juillet 2017. Les cybercriminels avaient ensuite volé le jeton d’accès d’un compte, puis avaient utilisé celui-ci pour basculer vers d’autres comptes et dérober davantage de jetons.

Mise à jour du 21/11/2018

Depuis la publication de l’article, Sophos a reçu de nouvelles informations sur cet incident. Nous avons donc mis à jour l’article afin de refléter le fait que les mots de passe ont peut-être été écrits et stockés dans des fichiers log en clair, au lieu d’être stockés en clair de manière automatique et naturelle.


Billet inspiré de Instagram accidentally reveals plaintext passwords in URLs, sur Sophos nakedsecurity.