Tandis que Roger Waters dit gentiment à Mark Zuckerberg d’aller voir ailleurs pour utiliser une chanson des Pink Floyd dans une pub Instagram, des chercheurs de sécurité informatique continuent d’éplucher l’application à la recherche d’une éventuelle faille de sécurité. Et justement, le chasseur de bugs Mayur Fartade en a trouvé une belle, une belle faille critique et embarrassante pour Facebook, maison-mère d’Instagram.
Selon son blog, l’expert a trouvé une série de points de terminaison vulnérables dans l’appli Instagram qui permet à des attaquants d’accéder à des médias privés sur la plateforme, comme des Stories, des profils ou encore des Reels, sans être abonné aux comptes en question. Si un pirate obtient l’ID média d’un utilisateur cible, soit via une attaque par force brute ou par d’autres techniques de hacking, il devenait possible d’envoyer une requête POST au point de terminaison GraphQL d’Instagram.
Résultat, l’attaquant serait en mesure d’accéder aux médias privés et archivés d’un utilisateur, ainsi que de nombreuses données comme les likes et les commentaires par exemple. En outre, le pirate était également en mesure de récupérer les adresses des pages Facebook liées aux comptes Instagram, pouvait de fait récupérer un plus grand nombre d’informations sur le propriétaire du compte visé.
Les contenus privés sur Instagram étaient accessibles publiquement https://t.co/HM5Sho19kW
— Le Virus Info + Pirates Mag' + Les Puces Info (@ACBM_COM) June 16, 2021
30 000 dollars en récompense pour le chercheur
Le chercheur en sécurité informatique a fait part de ses découvertes via le programme de chasse aux bugs de Facebook ce 16 avril 2021. Facebook a pris ses révélations au sérieux et a débuté son enquête pour confirmer ou infirmer la théorie de Mayur Fartade. Pendant ce temps, l’expert avait trouvé des points de terminaison vulnérables supplémentaires au sein de l’application.
Deux semaines plus tard, Facebook a enfin reconnu le travail du chercheur et a rapidement publié un patch pour corriger ces points de terminaison vulnérables. Programme de chasse aux bugs oblige, Mayur Fartade a été récompensé pour son expertise avec un chèque de 30 000 dollars. Un peu chiche non, compte tenu de la gravité de ces failles ? C’est toutefois mieux que rien. Et surtout mieux qu’un procès.
« Votre rapport a mis en lumière un scénario dans lequel un utilisateur malveillant pouvait accéder à des médias spécifiques sur Instagram. Ce scénario requérait que l’attaquant connaisse l’ID media spécifique d’un utilisateur. Nous avons corrigé ce problème. Merci encore pour votre rapport. Nous regarderons vos prochains rapports avec intérêt à l’avenir ! », a déclaré Facebook dans une publication à destination de Mayur Fartade.
Tu m’étonnes.
