Instagram confirme une fuite de données sur des comptes de célébrités

Instagram a confirmé qu’un petit nombre de comptes vérifiés avaient été attaqués, via un bug dans son API. Parmi les victimes, la chanteuse Selena Gomez, dont le compte a été temporairement suspendu lundi dernier, après la publication de photos dénudées de Justin Bieber.

Mauvais coup de publicité pour Instagram, dont la sécurité des comptes utilisateurs se retrouve sous le feu des projecteurs. La société – qui appartient pour rappel à Facebook – a confirmé qu’il existait un bug dans son interface de programmation. Exploité, il a permis à un ou plusieurs pirates de récupérer l’adresse email et le numéro de téléphone de plusieurs comptes vérifiés appartenant à des célébrités.

Une faille confirmée...

La seule victime « connue » est Selena Gomez, Instagram n’ayant fourni aucun nom. Son compte Instagram, le plus populaire sur le service avec 125 millions de followers, a été mis hors ligne pendant quelques minutes lundi. Une action qui suivait la publication sur son profil de plusieurs photos dénudées de Justin Bieber. Des photos qui n’étaient d’ailleurs pas nouvelles puisqu’elles avaient été révélées en 2015.

La faille n’a été confirmée que mercredi par Instagram, qui a surtout évoqué quelques comptes, et le risque pour ces derniers que des données personnelles (comme le numéro de téléphone) se retrouvent dans la nature. Le danger bien sûr est que ces informations soient utilisées pour bâtir des campagnes de spearfishing, d’autant que les profils vérifiés appartiennent dans la grande majorité à des personnalités politiques, sportives ou artistiques.

Comme l’indique Instagram dans son communiqué, « aucun mot de passe n’a été exposé ». La société ajoute : « Nous avons rapidement corrigé le problème et menons actuellement une enquête approfondie ». Elle rappelle bien sûr que la sécurité des utilisateurs est sa priorité et que toutes les personnes concernées ont été prévenues. Étrangement, elle n’en profite pas pour remettre une petite couche sur les bénéfices de la double-authentification. 

... et 6 millions de victimes ?

Mais selon The Daily Beast, Instagram sous-estimerait – volontairement ou non – la portée du problème.  L’un des pirates, « Doxagram », a fourni à nos confrères un échantillon de 1 000 comptes Instagram a priori touchés. La liste contenait l’adresse email, le numéro de téléphone ou les deux. The Daily Beast a tenté de créer des comptes Instagram avec une sélection d’adresses email de l’échantillon, le service répondant à chaque fois qu’elles étaient déjà utilisées. Point intéressant, la plupart de ces adresses n’étaient pas référencées sur le site « Have I Been Pwned? », indiquant ainsi qu’elles ne provenaient pas d’une autre fuite comme celle de LinkedIn.

Toujours selon nos confrères, les pirates seraient en possession des données de 6 millions de comptes, un site web ayant été mis en place pour les consulter… de manière payante. 10 dollars sont ainsi réclamés pour toute recherche.

Instagram n’a cependant pas confirmé l’ampleur de la brèche. Ces chiffres sont donc à prendre avec des pincettes.