Quiconque choisit de garder un profil privé sur Instagram il fait cela pour garder ses photos, vidéos et histoires à l’abri des regards indiscrets, mais jusqu’à il y a quelques semaines, ces contenus étaient loin d’être sûrs de ce point de vue. Les développeurs de la plateforme de partage viennent en effet de corriger une faille qui permettait une tout étranger pour voir et enregistrer toutes les photos et vidéos téléchargés – y compris ceux des profils privés. De plus, l’erreur a été découverte par un utilisateur externe, qui en a été récompensé par une somme de 30 000 dollars.
Photos privées accessibles à tous
La nouvelle a été diffusée par l’utilisateur en question, qui a participé à une initiative de chasse aux bugs mis en place par le groupe Facebook il y a des années : dans ce programme, l’entreprise invite des utilisateurs externes à trouver des failles potentielles dans ses applications pour pouvoir les fermer avant qu’elles ne deviennent dangereuses ; en retour, selon la gravité du problème rencontré, les utilisateurs reçoivent des récompenses en espèces. C’est exactement ce qui est arrivé à Mayur Fartade, un développeur informatique indien qui a rencontré le problème et l’a expliqué en détail aux développeurs d’Instagram.
La faille était fermée, mais elle n’était pas secondaire. Grâce à la technique expliquée par Fartade (et désormais plus valable), il était en effet possible de visualiser sur un navigateur et télécharger n’importe quel contenu multimédia téléchargé sur la plate-forme – qu’il soit public ou appartenait à un utilisateur avec le profil défini en mode privé. Dans le dernier cas il n’était même pas nécessaire d’être parmi les adeptes autorisé par l’utilisateur : la plateforme n’a tout simplement opposé aucune résistance à la demande du contenu souhaité.
Attaques possibles
Le bug ne permettait en fait à aucun harceleur de se fixer sur un objectif précis : pour mettre la main sur une photo ou une vidéo, il fallait connaître son ID média, ou le code d’identification numérique que le réseau social attribue à chaque contenu individuel mis en ligne, et qui n’est pas lié aux profils individuels : en bref, les publications et les histoires pourraient être extraites du réseau social, mais sans pouvoir savoir a priori à qui ils appartenaient. Grâce à d’autres outils facilement disponibles en ligne, tout malveillant pourrait cependant cependant, pour retracer l’identité de ceux qui ont téléchargé des photos et des vidéos à partir de leurs fonctionnalités ; étant donné que dans les profils privés d’Instagram sont publiés des documents que les propriétaires peuvent ne vouloir montrer à personne, le bug peut avoir eu de graves conséquences.