Instasheep : Hacker un compte Instagram sur un Wi-Fi !

Il y a deux jours, une faille critique a été remontée dans le service de partage de photos et de vidéos « Instagram » au niveau des applications mobiles. Les données transitant entre un client web et les serveurs sont sécurisées (HTTPS), or cela n’est pas le cas lors de l’utilisation de l’application mobile. De ce fait, si un attaquant se positionne entre le client et le serveur notamment au niveau d’un réseau Wi-Fi Public, il peut voir le trafic qui transite et récupérer des informations en « hackant » la session de l’utilisateur.

logo-instagram1Stevie Graham, un développeur Londonien, qui avait remonté ce problème Instagram a décidé de publier « Instasheep » qui permettrait d’exploiter la grand échelle. Pourquoi aurait-il fait cela ? Tout simplement parce que Facebook lui a notifié qu’il ne toucherait pas un centime pour sa découverte, il a donc gentiment révélé l’existence de cette faille sur Twitter et a créé Instasheep.

Toujours d’après Stevie, voici la méthode introduite dans l’outil Instasheep (traduite) :

« - Connectez-vous sur un réseau Wi-Fi Public ou chiffré par WEP après avoir cracké la clé de sécurité WEP

- Mettez votre interface réseau en mode promiscuous afin d'analyser tout le trafic mais en filtrant sur i.instagram.com :

sudo tcpdump -In -i en0 -s 2048 -A dst i.instagram.com

- Patientez en attendant qu'un utilisateur utilise l'application Instagram iOS sur ce même réseau

- Extraire le cookie de l'en-tête de la requête de sortie

- Utiliser les informations récupérées dans un nouveau cookie dans le paramètre "sessionid" en se faisant passer pour un iPhone grâce à la définition du User-Agent :

curl -H 'User-Agent: Instagram 6.0.4 (iPhone6,2; iPhone OS 7_1_1; en_GB; en-GB) AppleWebKit/420+' \ -H 'Cookie: sessionid=REDACTED' \ https://i.instagram.com/api/v1/direct_share/inbox/`

Cela permettra de récupérer la session de l’utilisateur ».

Le co-fondateur d’Instagram, Mike Krieger, a par ailleurs justifié l’absence du HTTPS pour les applications par le fait que cela ralentissait les temps de réponse du à la sécurité, et, qu’Instagram souhaitait mettre en place le HTTPS sans régression au niveau des performances, de la stabilité et de l’expérience utilisateur.

La question que l’on peut se poser : Facebook aurait-il mieux fait de signer un chèque (à quelques zéros…) à Stevie Graham pour la découverte d'une faille de sécurité dans Instagram ?

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian B.

Consultant chez Délibérata le jour, blogueur pour IT-Connect la nuit, je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 2369 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.