Les pirates auraient pu pénétrer dans n'importe quel compte Instagram en raison d'une faille dans le système de réinitialisation de mot de passe
La plupart des utilisateurs de Facebook ont probablement aucune idée de qui est Laxman Muthiyah, ce qui est dommage, car ils ont aucune idée de tout ce q il a fait pour protéger leur vie privée. Laxman Muthiyah est un développeur Web et un chercheur en sécurité de Inde qui a découvert plusieurs vulnérabilités sérieuses dans le plus grand réseau social du monde. En février 2015, par exemple, il a découvert q avec un jeton accès facilement accessible et le numéro identification un album Facebook, il pouvait supprimer vos photos sans votre consentement. Environ un mois plus tard, il a découvert une autre faille dans les applications mobiles de Facebook, qui permettait à quiconque de regarder des images privées sur votre téléphone.
Muthiyah a découvert quelques autres bogues sur Facebook, et il a récemment décidé de jeter un coup œil sur les autres plateformes populaires de Mark Zuckerberg. Instagram était le premier sur la liste, et bien sûr, après avoir exploré son mécanisme de réinitialisation de mot de passe, Muthiyah a découvert un bogue qui aurait permis à des pirates motivés de emparer de tout compte Instagram de leur choix.
Table of Contents
Les différents mécanismes de réinitialisation de mot de passe Instagram
Les mots de passe Instagram peuvent être réinitialisés à la fois via le navigateur et via application mobile du réseau social. Dans le navigateur, le mécanisme est simple et démodé - vous cliquez sur le bouton "Mot de passe oublié?" lien, vous entrez le nom utilisateur de votre compte et un lien de réinitialisation du mot de passe est envoyé à votre adresse électronique. Tant que vous avez accès à votre adresse e-mail, ça devrait aller.
Sur les appareils mobiles, les choses sont un peu différentes. Après avoir lancé la procédure de réinitialisation du mot de passe, Instagram envoie un message texte avec un code accès à six chiffres au numéro de téléphone associé à votre compte. Vous fournissez le code authentification et application vous permet attribuer un nouveau mot de passe.
Le code secret dans le SMS expire au bout de dix minutes et le nombre de codes erronés que vous pouvez entrer à partir de la même adresse IP est limité en peu de temps. Le système a été conçu de cette manière afin empêcher un cybercriminel utiliser la force brutale pour essayer de deviner le code à six chiffres. est ce que pensaient les gens qui avaient mis en place, de toute façon.
La protection inégale de la force brute Instagram
Laxman Muthiyah se doutait q il pourrait y avoir un moyen de contourner la protection par la force brute Instagram, et pour confirmer si était vraiment le cas ou non, il devait faire quelques recherches. Il a créé un faux compte, lancé une procédure de réinitialisation du mot de passe et écrit un script qui a automatiquement essayé 1 000 codes aléatoires différents à six chiffres en succession rapide. 750 entre eux ont été refusés, ce qui a donné à Muthiyah la limite de débit - 250 demandes par adresse IP. Il est ensuite rendu compte q il pouvait envoyer 1000 demandes supplémentaires à la même adresse.. La limite de taux invaliderait à nouveau les trois quarts entre eux, mais la propriété intellectuelle ne serait pas inscrite sur la liste noire.
Après un peu plus de casse-tête, il s’aperçut que s’il contrôlait un grand nombre d’adresses IP et qu’il pouvait déclencher une situation connue sous le nom de condition de concurrence critique (comportement indésirable d’un système informatique après lui avoir demandé d’exécuter plusieurs tâches simultanément), il pourrait essayez plusieurs combinaisons différentes à six chiffres sur une période relativement courte sans atteindre la limite de débit.
Pour prouver son point de vue, il a utilisé 1 000 adresses IP différentes pour envoyer un peu moins de 200 000 demandes, et sa vidéo de preuve de concept montre que seules 770 entre elles ont été traitées. Un code authentification à six chiffres contient un million de combinaisons possibles, ce qui signifie que si les attaquants peuvent envoyer des requêtes à partir de 5 000 adresses IP, ils peuvent à peu près garantir la réussite du forçage.
150 $ pour la prise en charge un seul compte Instagram. Est-ce que ça vaut le coup?
5 000 adresses IP peuvent sembler beaucoup, mais Muthiyah a calculé que, grâce aux services de cloud modernes Amazon et de Google, la location un nombre adresses similaire coûterait environ 150 USD. Est-ce que les criminels vont être intéressés à payer 150 dollars pour détourner le compte une personne qui partage leurs selfies avec leurs amis et leur famille? Cela semble peu probable. Si, toutefois, la cible est l’un des prétendus influenceurs Instagram, l’histoire est différente.
Nous parlons utilisateurs avec des centaines de milliers, voire des millions adeptes, prêts à cliquer sur chaque lien affiché. Le potentiel de faire des ravages est plus ou moins illimité. est pourquoi, lorsque Muthiyah a été informé de la faille, il a immédiatement contacté Instagram et il faut dire que la réponse du réseau de partage de photos laissait peu à désirer.
La vulnérabilité a été corrigée rapidement, et Laxman Muthiyah a été récompensé par une prime de 30 000 USD pour avoir trouvé et relayé les informations importantes. est le dernier une longue liste de primes que Muthiyah a reçues pour son travail. Les utilisateurs devraient être reconnaissants pour ses efforts et espérer q il continuera à avoir une longueur avance sur les cybercriminels dans la recherche des bogues.