Le piratage d’Instagram soulève des questions sur sa sécurité 2FA.

Même les paramètres de sécurité les plus stricts d’Instagram peuvent ne pas suffire à protéger votre compte contre des pirates informatiques déterminés.

Alors que l’entreprise se démène pour gérer une vague de piratage informatique qui a frappé des centaines d’utilisateurs depuis le début du mois d’août, nombre de ces utilisateurs ont décrit un schéma inquiétant qui soulève de sérieuses questions sur les paramètres de sécurité de l’application.

Instagram permet aux utilisateurs de sécuriser leurs comptes avec une authentification à deux facteurs, mais elle repose actuellement sur des messages texte qui ne sont pas aussi sûrs que les méthodes d’authentification basées sur des applications.

La société a déclaré dans un communiqué publié la semaine dernière en réponse au reportage de Mashable sur le nombre croissant de piratages sur Instagram qu’elle travaillait à améliorer sa sécurité en 2FA, mais elle n’a pas précisé comment.

Mais tant que cette mise à jour n’est pas disponible, la seule option pour les utilisateurs est la méthode basée sur SMS. Et tandis que le 2FA basé sur SMS est meilleur que rien, il ne suffira peut-être pas de protéger votre compte Instagram contre des cybercriminels déterminés.

Sécurité faible 2FA

Parmi les plus de 275 personnes qui ont contacté Mashable au sujet de comptes Instagram piratés au cours de la dernière semaine, la plupart des personnes que nous avons entendues ont déclaré qu’elles n’utilisaient pas 2FA à l’époque.

Mais Mashable a confirmé qu’au moins quatre personnes avaient été piratées malgré le fait que 2FA était activé. Au moins six autres personnes qui ont contacté Mashable ont formulé des revendications similaires, mais n’ont pas été en mesure de fournir une preuve d’activation de 2FA sur leurs comptes lorsqu’elles ont été piratées.

Dans certains de ces cas, il n’y avait aucun signe que quelqu’un essayait de pirater leur compte jusqu’à ce que les utilisateurs soient soudainement fermés sans avertissement. Dans d’autres cas, ils savaient que les pirates les ciblaient, mais les paramètres de sécurité les plus stricts d’Instagram n’étaient pas en mesure de protéger leurs comptes.

Un professionnel de l’informatique qui a parlé avec Mashable sous couvert d’anonymat parce qu’il n’était pas autorisé à parler au nom de son organisation, a déclaré que le compte Instagram qu’il gère pour son entreprise a été piraté trois fois en l’espace d’un mois, malgré des paramètres de sécurité stricts. Le compte a une authentification à deux facteurs activée, utilise un mot de passe de 20 caractères, et l’adresse e-mail liée au compte est un fouillis de caractères aléatoires. Il a même donné des instructions spéciales à son opérateur pour empêcher les ports non autorisés de sa carte SIM.

Malgré tout cela, le compte, qui est devenu une cible de piratage fréquente, a été divisé en trois fois au cours du mois dernier. Il reçoit souvent des dizaines de messages 2FA non autorisés par jour. (Mashable a vu des captures d’écran confirmant ces tentatives.) Mais curieusement, il indique qu’au moment où il reçoit l’invitation, les pirates ont déjà réussi à accéder au compte.

« Tout ce qui est disponible sur Instagram se fait sur notre compte et pourtant, chaque fois que je reçois ce SMS, ils ont déjà changé le mot de passe », a-t-il déclaré à Mashable. « En tant que professionnel de l’informatique, je ne peux pas vous dire comment ils font cela. Ils doivent avoir une sorte de faille dans Instagram fondamentalement qu’ils exploitent pour le faire. »

Il a été en mesure de regagner le compte à chaque fois, car il a un contact sur Instagram, mais les tentatives de piratage constantes font encore des ravages. Les repousser est devenu une lutte quasi constante, il affirme qu’il est généralement capable de réinitialiser son mot de passe et de s’en occuper s’il les attrape dans les premières minutes, ce qui prend du temps à d’autres tâches.

« Ce n’est pas une exagération de dire que Instagram est mon problème de sécurité numéro un auquel je suis confronté en tant que professionnel de l’informatique », dit-il.

Petites entreprises bouleversées

On ne sait toujours pas comment ces attaques se produisent. Par le passé, les pirates informatiques ont détourné les cartes SIM des utilisateurs d’Instagram pour accéder à des comptes protégés par 2FA. Mais cela ne semble pas être ce qui se passe dans ces cas, dans lesquels les utilisateurs décrivent leurs paramètres 2FA ignorés, modifiés ou désactivés à leur insu.

«L’authentification à deux facteurs aide évidemment, mais elle n’est pas infaillible», déclare Stuart Madnick, professeur de technologie de l’information à la Sloan School of Management du MIT, qui constate que les pirates informatiques sont souvent capables de contourner 2FA.

Une de ces lacunes est particulièrement connue. Une faille dans un protocole de routage utilisé par les sociétés de télécommunications, connue sous le nom de protocole de signalisation 7 (SS7), permet essentiellement aux pirates de rediriger les messages texte 2FA de leurs destinataires. Cette faille a été exploitée avec succès dans le passé. En janvier 2017, un groupe de pirates informatiques a exploité la faille SS7 afin de vider les comptes bancaires de leurs victimes, a indiqué ArsTechnica. Et les chercheurs de Positive Technologies ont démontré à quel point il était facile d’exploiter cette faille particulière lorsqu’ils l’utilisaient pour pirater un compte Coinbase l’année dernière. Deux membres démocrates du Congrès ont publiquement demandé à la FCC de travailler avec les transporteurs pour remédier aux vulnérabilités SS7 l’année dernière, mais ils n’ont pas encore été corrigés.

Que ce soit ou non ce qui arrive à Instagram, il est impossible de dire avec certitude sans que la société pèse directement. Instagram a décliné plusieurs demandes de commentaires sur le disque. Mais la vague de piratage récente, qui a entraîné des centaines d’accès à leurs comptes, souligne le fait que la sécurité est une préoccupation croissante pour ce service, qui compte désormais plus d’un milliard d’utilisateurs.

Pour les propriétaires de petites entreprises qui comptent sur Instagram pour leurs clients, ces attaques peuvent être particulièrement dévastatrices.

Robert Jordan, qui utilise Instagram pour communiquer avec ses clients pour sa société de conception de bandes son, rapporte une expérience similaire. Dans la nuit du 12 août, il n’a pas pu se connecter à son compte Instagram, qui comptait environ 5 000 abonnés et était protégé par 2FA. Il s’est vite rendu compte que le nom d’utilisateur avait été modifié, ainsi que le mot de passe et l’adresse électronique du compte. Sa biographie a été supprimée et son image de profil a été changée en une image partielle d’un cheval, qui semblait être une image du film DreamWorks Spirit : Stallion of the Cimarron.

Il a déclaré qu’il n’avait jamais reçu de notification d’Instagram etque quelque chose n’allait pas : pas d’invites 2FA et pas d’e-mails signalant que ses informations de compte avaient été modifiées. Comme des dizaines d’autres qui ont parlé avec Mashable, il n’a pas eu la chance de naviguer dans le système de support d’Instagram.

« Il est extrêmement décevant que, avec des informations aussi sensibles, telles que les cartes de crédit, les adresses, les numéros de téléphone et les messages privés liés à des comptes, leur soutien est inférieur à la moyenne », explique Jordan. « Étant donné que beaucoup de personnes abandonnent Facebook sur les questions de confidentialité des données et que LinkedIn n’est pas extrêmement populaire, Instagram est ma plus grande connexion. Pour les profils commerciaux comme le mien qui traitent quotidiennement avec Instagram et les autres réseaux sociaux, cela réduit considérablement la satisfaction des clients. »

Ces types de comptes de petites entreprises sont importants non seulement pour les personnes qui les gèrent. Les petites entreprises constituent un groupe démographique de plus en plus important pour Facebook. Selon les propres statistiques de la société, il existe 25 millions de profils d’entreprise sur Instagram. Et bien que toutes ces entreprises ne paient pas pour la publicité, la société essaie de plus en plus de les encourager à le faire, Instagram permet aux entreprises de cibler les utilisateurs avec des publicités achetables dans son flux et a récemment commencé à les publicités.

Mais contrairement à Facebook, qui dispose de paramètres de sécurité relativement robustes (comme la possibilité d’utiliser des clés de sécurité physiques ainsi que des applications d’authentification secondaires), les paramètres de sécurité d’Instagram sont assez rudimentaires. Les entreprises et les autres comptes ayant de gros suivis disposent des mêmes paramètres limités que tous les autres.

Selon les utilisateurs, ces paramètres ne vont pas assez loin pour protéger les comptes qui ont de gros suivis ou dont les descripteurs sont courts ou uniques. Par exemple, bien que 2FA soit proposé, les utilisateurs ne sont invités à entrer que des codes supplémentaires lors de la connexion à partir d’un périphérique non reconnu. Instagram n’exige pas non plus de mot de passe ou autre méthode d’authentification pour modifier les informations du compte ou pour désactiver complètement 2FA.

Garder les utilisateurs informés

Instagram, peut également ne pas faire tout son possible pour éduquer les gens sur le risque de piratage potentiel, dit Madnick, le professeur du MIT. « Il n’est pas clair pour Instagram de dire aux gens qu’ils sont menacés. C’est un conflit d’intérêts en quelque sorte. » Il note que beaucoup de personnes n’autorisent jamais 2FA parce qu’elles ne savent pas qu’elles existent ou supposent qu’elles ne seront pas ciblées.

D’autres disent qu’ils ne reçoivent jamais de courrier électronique du tout, ou que leurs tentatives de réinitialisation de leurs mots de passe sont vaines, car toutes les informations de contact associées à ce compte ont déjà été modifiées. Instagram déclare avoir d’autres moyens de permettre à ses utilisateurs de récupérer des comptes, mais a refusé de commenter certains détails, en plus de pointer vers son article précédent.

Pour les utilisateurs qui ont été piratés, ce processus ajoute une insulte à la blessure. Les personnes qui cherchent déjà à reprendre le contrôle de leurs comptes, qu’il s’agisse de soutenir leur activité, de récupérer des photos de leurs proches ou de protéger leur vie privée, finissent par penser qu’elles tournent en rond, recevant un courrier électronique automatisé après résolution automatique.

Ainsi, alors que le reste des utilisateurs d’Instagram attendent la mise à jour de sécurité promise par l’entreprise, certains de leurs utilisateurs les plus dévoués attendent toujours une solution qui pourrait ne jamais arriver.

D’autres conseils qui peuvent aussi vous intéresser : Un piratage d’Instagram bloque des centaines d’utilisateurs sur leurs comptes.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage