Un hacker prétend avoir dérobé les données de près d'un quart des utilisateurs d'Instagram. Adresses mails, coordonnées et informations personnelles de 489 millions de comptes auraient été raflées.

Près de 500 millions de données d'abonnés Instagram seraient dans la nature © PixieMe / Shutterstock
Près de 500 millions de données d'abonnés Instagram seraient dans la nature © PixieMe / Shutterstock

Le réseau de Meta ne compte pas moins de 2 milliards d'utilisateurs actifs et s'est retrouvé dans la ligne de mire d'un cybercriminel particulièrement ambitieux. Sur un forum spécialisé, ce dernier a mis en vente un fichier contenant prétendument les données personnelles de 489 millions d'utilisateurs Instagram.

Et pour prouver qu'il ne raconte pas de carabistouilles, le hacker a partagé un échantillon de plus de 100 lignes de données volées. Selon les experts du site Cybernews qui ont analysé ces données, il dit vrai. En effet, les adresses mails recensées n'apparaissent dans aucune autre fuite.

Le pirate a exploité une faille dans l'API d'Instagram pour aspirer massivement les données

Cette vaste récolte reposerait non pas sur l'ingéniosité ni les compétences du prétendu pirate, mais sur l'exploitation d'une vulnérabilité dans l'interface de programmation (API) d'Instagram.

Normalement, ces API publiques ne permettent pas d'accéder aux adresses mails des utilisateurs si celles-ci ne sont pas explicitement rendues publiques. Selon les chercheurs de Cybernews, deux scénarios sont possibles : soit une API privée a été exposée par erreur, soit l'API publique présentait une faille de sécurité qui a permis de contourner les restrictions d'accès aux données.

Dans les deux cas, le voleur aurait réussi à automatiser la collecte massive d'informations normalement protégées, comprendre le « web scraping », en violation flagrante des conditions d'utilisation de Meta, qui interdisent formellement cette méthode non autorisée de grattage des données.

Le web scraping se situe dans une zone grise juridique © Profit_Image / Shutterstock
Le web scraping se situe dans une zone grise juridique © Profit_Image / Shutterstock

Les données volées permettraient de mener des attaques ciblées dévastatrices

Du côté des experts, on se ronge les sangs. Les informations dérobées comprennent non seulement les noms d'utilisateurs et leurs adresses mails, mais aussi les biographies de leurs profils, le nombre d'abonnés, la localisation et même la catégorie des comptes.

Soit la caverne d'Ali Baba pour celui qui prétend avoir prononcé la formule magique « Sésame, ouvre-toi ». En effet, quiconque en possession de ces données pourrait orchestrer des campagnes de phishing ou de ransomware ultra-ciblées, avec en ligne de mire les comptes professionnels et influenceurs, qui pourraient faire l'objet d'usurpation d'identité pour diffuser du contenu malveillant à grande échelle.

Si, à l'heure où nous écrivons ces lignes, Meta n'a pas encore réagi officiellement, malgré l'existence d'une équipe spécialisée dans la lutte contre l'utilisation abusive des données, les utilisateurs d'Instagram vont devoir scruter leurs boîtes mails, SMS ou messages privés.

Source : Cybernews