Depuis quelques jours, Instagram est dans la tourmente à cause de ses applications mobiles qui sont parfois un peu trop bavardes. En effet, si l'identification passe bien par un lien HTTPS, ce n'est apparemment pas toujours le cas par la suite.... laissant ainsi transiter en clair de nombreuses informations.
Instagram est un réseau social spécialisé dans le partage de photos et de vidéos. Cela fera bientôt deux ans que Facebook a finalisé son rachat pour près d'un milliard de dollars. Mais, comme le soulève Mazin Ahmed sur son blog, les applications Instagram ont un problème relativement gênant : elles n'utilisent pas systématiquement une connexion chiffrée HTTPS.
Alors qu'il analysait le trafic circulant sur son réseau Wi-Fi, il a remarqué un fait troublant : « une fois connecté à mon compte depuis mon smartphone, Wireshark a capturé des données non chiffrées passant en HTTP. Ces données comprennent : les photos que les victimes regardent, les cookies de session, le nom d'utilisateur et l'ID de la victime ». Il ajoute : « ensuite, j'ai pris les cookies de session et je les ai réutilisés sur mon ordinateur, et la session de la victime a alors été détournée ».
Mazin Ahmed indique avoir contacté Facebook et obtenu une réponse pour le moins surprenante. En substance, il est écrit : « actuellement, Facebook accepte le fait que certaines communications d'Instagram passent par du HTTP au lieu du HTTPS. Nous prenons acte de ce problème et nous travaillons à sa résolution ». Aucune date n'est par contre précisée.
Hier, The Hacker News est revenu à la charge en indiquant qu'un outil permettant de récupérer automatiquement ces informations avait été mis en ligne : Instasheep (fonctionne uniquement avec Instagram sur iOS). Il a été mis en ligne par Stevie Graham, un développeur qui avait déjà remarqué cette faille il y a presque un an. Il est visiblement déçu de ne pas avoir obtenu de récompense de la part d'Instagram.
Denied bug bounty. Next step is to write automated tool enabling mass hijacking of accounts. Pretty serious vuln, FB. please fix.
— Stevie Graham (@stevegraham) 27 Juillet 2014
De son côté, Mike Kriege, co-fondateur d'Instagram, revient sur cette histoire via le site YCombinator :
« Nous avons déjà entrepris d'accroître notre couverture HTTPS - Instagram direct, par exemple, que nous avons lancé fin 2013 est entièrement en HTTPS. Concernant le reste de l'application, et plus particulièrement les éléments sensibles à la latence comme le flux principal et les autres éléments de navigation, nous travaillons activement sur le déploiement du HTTPS, tout en veillant à ne pas régresser sur les performances, la stabilité et l'expérience utilisateur. C'est un projet que nous espérons terminer bientôt et nous partagerons cette expérience sur notre blog dédié à l'ingénieurie. »
Au final, il s'agit donc d'une guerre entre la vitesse d'exécution de l'application et la sécurisation des données. Reste maintenant à voir quand une mise à jour sera déployée. En attendant, il est recommandé d'être prudent dans l'utilisation des applications mobile d'Instagram, tout particulièrement sur des réseaux Wi-Fi.
