Instagram : des applications trop bavardes sans le HTTPS

Instagram : des applications trop bavardes sans le HTTPS

Oui, le « S » de HTTPS est important

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

31/07/2014 3 minutes
11

Instagram : des applications trop bavardes sans le HTTPS

Depuis quelques jours, Instagram est dans la tourmente à cause de ses applications mobiles qui sont parfois un peu trop bavardes. En effet, si l'identification passe bien par un lien HTTPS, ce n'est apparemment pas toujours le cas par la suite.... laissant ainsi transiter en clair de nombreuses informations.

Instagram HTTPS
Crédits : Mazin Ahmed

Instagram est un réseau social spécialisé dans le partage de photos et de vidéos. Cela fera bientôt deux ans que Facebook a finalisé son rachat pour près d'un milliard de dollars. Mais, comme le soulève Mazin Ahmed sur son blog, les applications Instagram ont un problème relativement gênant : elles n'utilisent pas systématiquement une connexion chiffrée HTTPS.

 

Alors qu'il analysait le trafic circulant sur son réseau Wi-Fi, il a remarqué un fait troublant : « une fois connecté à mon compte depuis mon smartphone, Wireshark a capturé des données non chiffrées passant en HTTP. Ces données comprennent : les photos que les victimes regardent, les cookies de session, le nom d'utilisateur et l'ID de la victime ». Il ajoute : « ensuite, j'ai pris les cookies de session et je les ai réutilisés sur mon ordinateur, et la session de la victime a alors été détournée ».

 

Instagram HTTPS
Crédits : Mazin Ahmed

Mazin Ahmed indique avoir contacté Facebook et obtenu une réponse pour le moins surprenante. En substance, il est écrit : « actuellement, Facebook accepte le fait que certaines communications d'Instagram passent par du HTTP au lieu du HTTPS. Nous prenons acte de ce problème et nous travaillons à sa résolution ». Aucune date n'est par contre précisée.

 

Hier, The Hacker News est revenu à la charge en indiquant qu'un outil permettant de récupérer automatiquement ces informations avait été mis en ligne : Instasheep (fonctionne uniquement avec Instagram sur iOS). Il a été mis en ligne par Stevie Graham, un développeur qui avait déjà remarqué cette faille il y a presque un an. Il est visiblement déçu de ne pas avoir obtenu de récompense de la part d'Instagram.

 

 

De son côté, Mike Kriege, co-fondateur d'Instagram, revient sur cette histoire via le site YCombinator : 

 

« Nous avons déjà entrepris d'accroître notre couverture HTTPS - Instagram direct, par exemple, que nous avons lancé fin 2013 est entièrement en HTTPS. Concernant le reste de l'application, et plus particulièrement les éléments sensibles à la latence comme le flux principal et les autres éléments de navigation, nous travaillons activement sur le déploiement du HTTPS, tout en veillant à ne pas régresser sur les performances, la stabilité et l'expérience utilisateur. C'est un projet que nous espérons terminer bientôt et nous partagerons cette expérience sur notre blog dédié à l'ingénieurie. »

 

Au final, il s'agit donc d'une guerre entre la vitesse d'exécution de l'application et la sécurisation des données. Reste maintenant à voir quand une mise à jour sera déployée. En attendant, il est recommandé d'être prudent dans l'utilisation des applications mobile d'Instagram, tout particulièrement sur des réseaux Wi-Fi.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Commentaires (11)




une fois connecté à mon compte depuis mon smartphone, Wireshark a capturé des données non chiffrées passant en HTTP. Ces données comprennent : les photos que les victimes regardent, les cookies de session, le nom d’utilisateur et l’ID de la victime



Instagrabbed


Comme n’importe quelle appli/service sans chiffrage sur une connexion Wifi quoi <img data-src=" />


Firesheep &lt;3


J’ai un peu du mal à comprendre l’argument des performances et de l’expérience utilisateur.



C’est négligeable un chiffrement SSL sur 3 entêtes HTTP et 1ko de JSON.




Facebook accepte le fait que certaines communications d’Instagram passent par du HTTPS au lieu du HTTP



o_O




actuellement, Facebook accepte le fait que certaines communications d’Instagram passent par du HTTPS au lieu du HTTP.





C’est pas pile l’inverse ?








yellowiscool a écrit :



J’ai un peu du mal à comprendre l’argument des performances et de l’expérience utilisateur.



C’est négligeable un chiffrement SSL sur 3 entêtes HTTP et 1ko de JSON.





Le côté négligeable, moi, je ne le vois pas trop parce qu’il faut pas oublier de multiplier tout ça par un nombre d’utilisateur en parallèle, et si ça se trouve la courbe de consommation ressource n’est pas linéaire, mais exponentielle / carrée / etc.

Après, peut-être qu’avec SPDY si ça existe en SSL, c’est mieux…









yellowiscool a écrit :



J’ai un peu du mal à comprendre l’argument des performances et de l’expérience utilisateur.



C’est négligeable un chiffrement SSL sur 3 entêtes HTTP et 1ko de JSON.





Je pense qu’ils joue la carte de la performance pour faire bien mais qu’on est plutôt sur des économies de bande passante.

Une entête https comparée à http c’est quelques octets voir Ko en plus mais tu multiplies ca par les quelques millards de requêtes journalières et t’as vite fait d’économiser quelques TB de transfert.

Et vue que la bande passante c’est ce qui coûte le plus cher …



Instagram c’est un site de voyeurisme ça, non ?

Si j’ai bon, je ne vois pas ce qu’on leur reproche. <img data-src=" />








Baldurien a écrit :



Le côté négligeable, moi, je ne le vois pas trop parce qu’il faut pas oublier de multiplier tout ça par un nombre d’utilisateur en parallèle, et si ça se trouve la courbe de consommation ressource n’est pas linéaire, myais exponentielle / carrée / etc.

Après, peut-être qu’avec SPDY si ça existe en SSL, c’est mieux…







Oui SPDY est copain avec HTTPS. Il suffit de se rendre sur le site de Google pour le constater et c’est normal puisque SSL/TLS est une surcouche à HTTP. Ce qu’il y a dans le tunnel importe peu au final









yellowiscool a écrit :



J’ai un peu du mal à comprendre l’argument des performances et de l’expérience utilisateur.



C’est négligeable un chiffrement SSL sur 3 entêtes HTTP et 1ko de JSON.





Déjà depuis une un poste fixe fibré tu ajoutes 30 à 200 ms pour la partie SSL, sur un mobile en HSPA tu dois attendre plus longtemps.