Le 28 août, le compte Instagram de la chanteuse Selena Gomez – le plus suivi sur le réseau avec autant d’abonnés que la population du Japon, plus de 126 millions – diffuse des photos de son ancien petit ami, Justin Bieber, dénudé.
Mais ce n’est que le premier épisode dans l’histoire du piratage de ce réseau social, qui revendique plus de 700 millions de comptes actifs dans le monde.
Quelques jours après l’incident, le 30 août, Instagram avoue que sa plateforme a bien été piratée et annonce que seulement une centaine de milliers de comptes sont touchés. L’entreprise rassure ses utilisateurs en expliquant que les cibles sont principalement des comptes « certifiés », c’est-à-dire de personnalités.
C’est la société Kaspersky, spécialisée dans la sécurité des systèmes d’information, qui a alerté la filiale de Facebook. Les chercheurs de cette entreprise ont en effet détecté que plusieurs offres, proposant des informations personnelles liées à des comptes Instagram de personnalités, circulaient sur des sites dédiés au piratage.
Ces experts ont également repéré et expliqué que la faille provenait de la version mobile 8.5.1 d’Instagram, lancée en 2016 (aujourd’hui, l’application en est à sa version 12.0.0). Ainsi, selon les chercheurs de Kaspersky, les hackers ont utilisé cette version obsolète de l’application pour effectuer, auprès d’Instagram, une demande de réinitialisation des mots de passe de plusieurs millions de comptes.
Les hackers ont alors intercepté la réponse d’Instagram grâce à un Proxy web (un logiciel informatique). De cette manière, les mots de passe ne se sont finalement pas réinitialisés et les utilisateurs ne se rendent compte de rien.
Les cybercriminels n’ont donc pas accès aux mots de passe, mais aux données personnelles comme le nom, le prénom, le numéro de téléphone ou l’adresse mail des usagers.
Le mystérieux hacker ayant découvert cette faille affirme avoir récupéré les données de 6 millions d’utilisateurs. Pour le prouver, il a transmis un échantillon de 10 000 personnes à
Ars Technica, un site américain d’information spécialisé dans les nouvelles technologies.
Un groupe de hacker baptisé Doxagram est allé encore plus loin. Il affirme avoir exploité la faille de manière automatisée, ce qui lui aurait permis de récupérer les données de plus de 200 millions de comptes.
Ce chiffre n’a pas été vérifié, mais un site internet a été créé pour proposer aux internautes d’acheter les données personnelles de l’Instagrameur de leur choix, qu’il soit anonyme ou célèbre. Le tout, pour l’équivalent de 10 euros en bitcoin.
Le site invite ainsi les utilisateurs à se créer un compte afin d’enregistrer l’adresse bitcoin utilisée par les cybercriminels. Il suffit ensuite de payer et de récupérer les informations de la célébrité convoitée.
RepKnigh, entreprise britannique de cybersécurité, a trouvé les informations de 500 comptes de personnalités dont Leonardo DiCaprio, Beyoncé, Rihanna, Neymar ou encore Emma Watson.
Mais tout le monde peut être touché. Instagram invite ainsi ses utilisateurs a être vigilant et à signaler toute activité inhabituelle sur leur compte.