L’application de partage de photos Instagram a présenté une faille de sécurité qui, sans le savoir, a conduit à la révélation des mots de passe de certains utilisateurs.
Une autre semaine, un autre problème de sécurité lié à Facebook ou à l’une de ses propriétés. Il s’agit cette fois d’Instagram, qui a révélé qu’un «petit nombre» de mots de passe d’utilisateurs avaient été exposés en clair. Ceci était le résultat d’un bug dans l’outil qui permettait aux utilisateurs de télécharger toutes leurs propres données depuis le réseau social.
Un porte-parole d’Instagram a confirmé la faille de sécurité à The Information, précisant que le mot de passe de certains utilisateurs qui utilisaient cette fonctionnalité pour télécharger une copie de leurs données était inclus en clair dans l’URL. Ce qui est encore plus troublant, c’est que ces mots de passe ont ensuite été stockés sur les serveurs de Facebook.
Instagram a répété que le bug n’avait touché que «un très petit nombre de personnes» et qu’il a été découvert en interne que ce dernier a été corrigé pour ne plus afficher les mots de passe. En outre, tous les utilisateurs concernés ont été contactés et prévenus de modifier leur mot de passe et d’effacer l’historique de leur navigateur.
Lorsque The Information a soulevé le problème des mots de passe stockés en texte brut, le représentant d’Instagram a déclaré que toutes les données de mot de passe étaient hachées, que les informations enregistrées sur les serveurs de Facebook avaient été supprimées et que l’URL contenant le mot de passe était uniquement affichée pour l’utilisateur qui utilisait l’outil « download your data », et personne d’autre.
Alors que le réseau social espère évidemment que cela suffira à rassurer tous les utilisateurs concernés, la plus grande menace concerne toute personne utilisant un ordinateur public ou partagé lorsque le bug était actif ou qui était sur un réseau non sécurisé à ce moment-là. Parallèlement à la mise à jour de leurs mots de passe, les utilisateurs d’Instagram doivent suivre ces instructions pour activer l’authentification à deux facteurs.
