En testant la sûreté du téléchargement d’images depuis l’application Instagram (pour Android comme pour iOS), la société d’expertise en cybersécurité Check Point a découvert une vulnérabilité critique. Cette faille récente permettrait à quiconque de prendre le contrôle d’un compte Instagram à distance, mais aussi de surveiller activement le smartphone lié à l’application piégée.
Pour mener à bien son audit de sécurité, Check Point a appliqué la technique du fuzzing. Il s’agit de placer ou d’injecter délibérément des données déformées dans une application ou un programme spécifique. Si celui-ci ne parvient pas à traiter correctement les données parasites, les développeurs peuvent alors identifier les faiblesses potentielles et les corriger avant que les utilisateurs ne soient mis en danger.
- Comment ajouter de la musique dans votre story Instagram ?
- Comment télécharger des photos sur Instagram à partir de votre ordinateur ?
- Activer le mode sombre d’Instagram, il n’y a rien de plus simple.
Dans le cas présent, la société a relevé un procédé de piratage extrêmement simple. Pour exploiter pleinement la vulnérabilité de l’application mobile Instagram, un hacker n'aurait, en effet, qu'à envoyer une (et une seule) image renfermant un code malveillant à sa victime potentielle. Le partage peut s’effectuer par mail ou via les réseaux sociaux. L’image est ensuite enregistrée sur l'appareil mobile de la victime qui, en l’ouvrant par le biais d’Instagram, déclenche l'exploitation de la vulnérabilité. Dès lors, le hacker dispose d’un contrôle total de l’application, ainsi que d’un accès complet au smartphone piégé. Il peut prendre en charge l’un comme l’autre, à distance.
La menace des bibliothèques tierces
Entre autres, la vulnérabilité en question permet au cybercriminel de lire des messages privés, de supprimer ou de publier des photos, voire de modifier les détails du profil Instagram piraté. Pire encore : en jouant sur les multiples autorisations réclamées par l’application, le hacker profite d’une passerelle vers le contenu, les données de localisation et la caméra propres à l’appareil mobile de la victime.
Les chercheurs de l'entreprise ont rapidement divulgué leurs conclusions à Facebook. L’éditeur a depuis publié un correctif qui semble avoir résolu le problème de mémoire tampon d’Instagram. Six mois après son déploiement, Check Point a rendu publique son enquête. L’objectif étant de sensibiliser les développeurs aux dangers potentiels de l’utilisation de bibliothèques tierces, pour simplifier notamment le traitement des images ou de la connectivité au sein de leurs applications. La vulnérabilité mentionnée ci-dessus est la conséquence de cette simplification souvent non contrôlable.
Yaniv Balmas, responsable de la recherche chez Check Point, met en garde :
« Les bibliothèques de codes tiers peuvent constituer une menace sérieuse. Nous recommandons vivement aux développeurs d'applications logicielles d'examiner scrupuleusement celles qu’ils emploient et de s'assurer que leur intégration se fasse correctement. Le code tiers est utilisé dans pratiquement toutes les applications populaires et il est très facile de passer à côté des menaces sérieuses qui y sont implémentées. Aujourd'hui, c'est Instagram, demain - qui sait ? »
