IPB

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Des comptes Instagram de célébrités ont été piratés, Réactions à la publication du 01/09/2017
Options
Lionel
posté 1 Sep 2017, 10:43
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 55 316
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3



Cette semaine, Instagram a confirmé qu'un bug a permis à des personnes malveillantes de se connecter au compte Instagram vérifiés de célébrités. Selon la société cela ne concernerait qu'un nombre restreint de comptes.
La faille a été comblée et n'a pas été communiquée.

Des chercheurs de Kaspersky Lab ont remonté cette faille:


Les chercheurs ont ainsi remarqué que la vulnérabilité s’était logée dans la version mobile d’Instagram 8.5.1, lancée en 2016 (la version actuelle est 12.0.0). La procédure d’attaque est relativement simple : en utilisant la version obsolète de l’application, les cybercriminels ont utilisé la fonction de réinitialisation du mot de passe et intercepté la requête en utilisant un Proxy web. Ensuite, ils ont sélectionné une victime et envoyé une requête au serveur d’Instagram sous le nom d’utilisateur ou l’identifiant de la victime. Le serveur renvoie ensuite une réponse JSON comportant les informations personnelles de la victime qui incluent des données sensibles telles que le numéro de téléphone et l’email.

Les attaques ont nécessité beaucoup de travail puisque chacune d’entre-elles a dû être réalisée manuellement dans la mesure où Instagram utilise des calculs mathématiques pour empêcher les cybercriminels d’automatiser les formulaires de demandes.

Les cybercriminels ont pu être repérés sur un forum clandestin, où ils revendaient les données d’identification des comptes de célébrités.

On ignore le nombre de comptes touchés, mais a priori seuls des VIP ou personnes dignes d'intérêt ont été ciblées. Les pirates ont maintenant accès à leurs données personnelles enregistrées, qui sont en vente...

Lien vers le billet original



--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
Ze Clubbeur
posté 1 Sep 2017, 11:39
Message #2


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 894
Inscrit : 29 Dec 2006
Lieu : Lyon
Membre no 76 813



Citation (Lionel @ 1 Sep 2017, 11:43) *
Le serveur renvoie ensuite une réponse JSON comportant les informations personnelles de la victime qui incluent des données sensibles telles que le numéro de téléphone et l’email.

Encore un développeur qui s'est dit que renvoyer des données en JSON permettait de protéger les données renvoyées biggrin.gif Et dire qu'il aurait suffit de crypter les données renvoyées pour éviter tout ça...
Citation (Lionel @ 1 Sep 2017, 11:43) *
Les cybercriminels ont pu être repérés sur un forum clandestin, ou ils revendaient les données d’identification des comptes de célébrités.
J'ai quand même beaucoup de mal à comprendre qu'on puisse vouloir pirater des comptes instagram. Enfin, je veux dire, instagram, ce n'est pas facebook ou tweeter...


--------------------
L'ipod ne peut fonctionner qu'avec Itunes...
Itunes fonctionne bien mieux sous mac que sous windows...
C'est pourquoi j'ai installé Mac OS sur mon pc...

MacBook Pro 15" Intel Core i7 2.5GHz Mi 2015
MacBook Pro 15" Intel Core i7 2.3GHz Février 2011 (en pré-retraite)
Go to the top of the page
 
+Quote Post
iAPX
posté 1 Sep 2017, 12:28
Message #3


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 15 366
Inscrit : 4 Jan 2006
Lieu : dtq
Membre no 52 877



Citation (Ze Clubbeur @ 1 Sep 2017, 06:39) *
Citation (Lionel @ 1 Sep 2017, 11:43) *
Le serveur renvoie ensuite une réponse JSON comportant les informations personnelles de la victime qui incluent des données sensibles telles que le numéro de téléphone et l’email.

Encore un développeur qui s'est dit que renvoyer des données en JSON permettait de protéger les données renvoyées biggrin.gif Et dire qu'il aurait suffit de crypter les données renvoyées pour éviter tout ça...
...

Comme l'attaquant se place à la place de l'App, et a probablement dû boulotter les clés qui sont dedans, le chiffrement n'empêche rien.

Le problème vient d'une API mal conçue: faire des interfaces est un art et il est facile dans des services complexes de se planter si on n'assure pas une isolation et si on ne considère pas les différents types d'attaques.
Dans ce cas il s'agit probablement, de la description, d'une attaque par Replay, utilisant les échanges de l'App puis les modifiant. L'attaquant aurait pu accéder aux clés utilisées par l'App si nécessaire (ça on peut toujours le faire après décompilation et analyse, voir analyse et extraction en temps réel sur certains plateforme Android!).

Ça fait désordre en tout cas pour un sit de cette importance!


--------------------
Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
Go to the top of the page
 
+Quote Post
FardocheX
posté 1 Sep 2017, 14:12
Message #4


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 878
Inscrit : 4 Sep 2006
Membre no 67 286



Citation (Ze Clubbeur @ 1 Sep 2017, 06:39) *
Citation (Lionel @ 1 Sep 2017, 11:43) *
...Le serveur renvoie ensuite une réponse JSON comportant les informations personnelles de la victime qui incluent des données sensibles telles que le numéro de téléphone et l’email...Les cybercriminels ont pu être repérés sur un forum clandestin, ou ils revendaient les données d’identification des comptes de célébrités.
J'ai quand même beaucoup de mal à comprendre qu'on puisse vouloir pirater des comptes instagram. Enfin, je veux dire, instagram, ce n'est pas facebook ou tweeter...


C'est ca qui peut être intéressant.
Go to the top of the page
 
+Quote Post
CAMEO172
posté 1 Sep 2017, 16:13
Message #5


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 2 929
Inscrit : 16 Oct 2004
Lieu : Istres (13)
Membre no 25 295



Citation (FardocheX @ 1 Sep 2017, 15:12) *
Citation (Ze Clubbeur @ 1 Sep 2017, 06:39) *
Citation (Lionel @ 1 Sep 2017, 11:43) *
...Le serveur renvoie ensuite une réponse JSON comportant les informations personnelles de la victime qui incluent des données sensibles telles que le numéro de téléphone et l’email...Les cybercriminels ont pu être repérés sur un forum clandestin, ou ils revendaient les données d’identification des comptes de célébrités.
J'ai quand même beaucoup de mal à comprendre qu'on puisse vouloir pirater des comptes instagram. Enfin, je veux dire, instagram, ce n'est pas facebook ou tweeter...


C'est ca qui peut être intéressant.


connaître l'email et le téléphone de Beyoncéou même Obbama !? pour un quidam comme moi, rien à foutre ! de façon frauduleuse on peut en faire quoi ?


--------------------
Mon site photos de concert : Concerts en boite
Go to the top of the page
 
+Quote Post
El Bacho
posté 1 Sep 2017, 16:47
Message #6


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 894
Inscrit : 24 Apr 2003
Lieu : Depuis chez lui
Membre no 7 276



Moins que les données personnelles, c'est le nombre d'abonnés qui est décisif. Si je veux poster un truc pour qu'il ait le plus de retentissement, j'ai plutôt intérêt à le balancer sur un compte qui assurera que des centaines de milliers de personnes le verront dans les minutes qui suivent.


--------------------
« Ayez confiance, je sais ce que je fais. »
Go to the top of the page
 
+Quote Post
g4hd
posté 1 Sep 2017, 20:42
Message #7


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 9 701
Inscrit : 9 Nov 2001
Lieu : Pays d’Aix
Membre no 1 255



Les quelques happy few qui sont piratés par leur instagram : 'faut reconnaître : c'est classieux !!!
laugh.gif


--------------------
 Mac Studio M1max 32 Go 1 To - Sonoma - Eizo 27" + Nec 21" - usage PAO
 MBp14 M2pro 16 Go 1 To - Sonoma - iPhone 15 128 - iWatch 6
 abonné VVMac
Go to the top of the page
 
+Quote Post
scoch
posté 1 Sep 2017, 23:05
Message #8


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 4 800
Inscrit : 1 Jul 2010
Membre no 156 073



Citation
J'ai quand même beaucoup de mal à comprendre qu'on puisse vouloir pirater des comptes instagram. Enfin, je veux dire, instagram, ce n'est pas facebook ou tweeter...

Je n'ai pas de compte Facebook ni Instagram , mais certains amis qui ont un besoin professionnel de communiquer sur les réseaux sociaux privilégient désormais Instagram : Facebook, c'est un truc de vieux, ou alors utilisé seulement par le Messenger.

Ce message a été modifié par scoch - 1 Sep 2017, 23:09.


--------------------
L'homme n'est que poussière... c'est dire l'importance du plumeau ! Alexandre Vialatte
Go to the top of the page
 
+Quote Post
FardocheX
posté 2 Sep 2017, 03:58
Message #9


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 878
Inscrit : 4 Sep 2006
Membre no 67 286



laugh.gif
Go to the top of the page
 
+Quote Post
Ze Clubbeur
posté 2 Sep 2017, 11:19
Message #10


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 1 894
Inscrit : 29 Dec 2006
Lieu : Lyon
Membre no 76 813



Citation (iAPX @ 1 Sep 2017, 13:28) *
Citation (Ze Clubbeur @ 1 Sep 2017, 06:39) *
Citation (Lionel @ 1 Sep 2017, 11:43) *
Le serveur renvoie ensuite une réponse JSON comportant les informations personnelles de la victime qui incluent des données sensibles telles que le numéro de téléphone et l’email.

Encore un développeur qui s'est dit que renvoyer des données en JSON permettait de protéger les données renvoyées biggrin.gif Et dire qu'il aurait suffit de crypter les données renvoyées pour éviter tout ça...
...

Comme l'attaquant se place à la place de l'App, et a probablement dû boulotter les clés qui sont dedans, le chiffrement n'empêche rien.

Le problème vient d'une API mal conçue: faire des interfaces est un art et il est facile dans des services complexes de se planter si on n'assure pas une isolation et si on ne considère pas les différents types d'attaques.
Dans ce cas il s'agit probablement, de la description, d'une attaque par Replay, utilisant les échanges de l'App puis les modifiant. L'attaquant aurait pu accéder aux clés utilisées par l'App si nécessaire (ça on peut toujours le faire après décompilation et analyse, voir analyse et extraction en temps réel sur certains plateforme Android!).
Mouai. Rien que le fait de savoir que c'est du JSON qui est renvoyé permet de dire que les données n'étaient pas cryptées !

Citation (El Bacho @ 1 Sep 2017, 17:47) *
Moins que les données personnelles, c'est le nombre d'abonnés qui est décisif. Si je veux poster un truc pour qu'il ait le plus de retentissement, j'ai plutôt intérêt à le balancer sur un compte qui assurera que des centaines de milliers de personnes le verront dans les minutes qui suivent.
Je le répète... C'est instagram, pas facebook ou twiter. Ça sous-entend de publier une image et du texte. C'est un procédé bien plus fastidieux que publier un simple message. Je pense plutôt que ça a été fait parce que c'était possible de le faire. Des pirates ont voulu voir si l'app/le site était vulnérable en faisant une attaque.


Citation (scoch @ 2 Sep 2017, 00:05) *
Citation
J'ai quand même beaucoup de mal à comprendre qu'on puisse vouloir pirater des comptes instagram. Enfin, je veux dire, instagram, ce n'est pas facebook ou tweeter...

Je n'ai pas de compte Facebook ni Instagram , mais certains amis qui ont un besoin professionnel de communiquer sur les réseaux sociaux privilégient désormais Instagram : Facebook, c'est un truc de vieux, ou alors utilisé seulement par le Messenger.
Sachant que instagram appartient à facebook... biggrin.gif
Au passage, si pour faire jeune, il faut toujours aller vite, je n'ose pas imaginer certains rapports, de la "jeune" génération biggrin.gif lol


--------------------
L'ipod ne peut fonctionner qu'avec Itunes...
Itunes fonctionne bien mieux sous mac que sous windows...
C'est pourquoi j'ai installé Mac OS sur mon pc...

MacBook Pro 15" Intel Core i7 2.5GHz Mi 2015
MacBook Pro 15" Intel Core i7 2.3GHz Février 2011 (en pré-retraite)
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



Nous sommes le : 19th March 2024 - 08:27