Selon Buzzfeed, les abonnés d’un compte Instagram privé peuvent en réalité en partager librement les contenus affichés.
BuzzFeed a annoncé aujourd’hui que le réseau social Instagram avait un défaut de sécurité dans la façon dont il gère les publications sur des comptes qui ont été définis comme privés. L’enquête illustre comment une série de clics de souris sur n’importe quel navigateur Web peut exposer l’URL des publications et des stories privées mises en cache sur les serveurs de Facebook.
Tout le monde peut utiliser un navigateur Web, tel que Google Chrome ou Firefox, pour inspecter le code source d’une page Web à l’aide de l’outil «Inspecter les éléments» (sur Chrome) ou «Examiner l’élément» (sur Firefox). En cliquant sur la section « Img » de l’en-tête Réseau, vous pouvez trouver l’URL de toute image Instagram sur laquelle vous avez cliqué, qu’il s’agisse d’une histoire en train de disparaître ou d’une photo publiée dans le fil d’un utilisateur. Cette URL peut ensuite être partagée et la photo visionnée par quiconque, y compris par des personnes qui ne suivent pas le compte privé en question.
En plus de révéler des URL persistantes pour les photos postées sur un compte privé, la même astuce de code source vous permet également d’extraire des URL pour les photos de profil d’autres utilisateurs Instagram susceptibles d’avoir interagi avec cette publication et de définir leurs comptes comme confidentiels. Bien sûr, vous devez tout d’abord suivre le compte privé pour avoir accès au fil et aux stories de l’utilisateur, mais la faille et la facilité d’exploitation de celle-ci représentent un oubli des équipes de confidentialité et de sécurité d’Instagram.
Selon BuzzFeed, ces URL récupéreront toujours des images des serveurs de Facebook même après la suppression des publications. Cela semble être vrai à la fois pour les photos publiées dans le fil et pour les contenus supprimés au bout de 24 heures. BuzzFeed indique que les URL des stories privées renverront le contenu pendant plusieurs jours après la date d’expiration. Le rapport indique également que la même méthode fonctionne pour extraire les URL des publications et des photos privées de Facebook.
Selon Facebook, ce type de comportement, à savoir rechercher l’URL d’une photo privée afin de la partager plus facilement en public, n’est pas sans rappeler le fait de prendre une capture d’écran d’un post. La société affirme n’avoir vu aucun abus lié à cette fonctionnalité de son réseau. «Le comportement décrit ici revient à prendre une capture d’écran de la photo d’un ami sur Facebook et Instagram et à la partager avec d’autres personnes. Cela ne donne pas aux gens l’accès au compte privé d’une personne », a déclaré un porte-parole de la société.