L’équipe de recherche de Check Point a découvert une vulnérabilité critique d’Instagram, réparée après qu’il l’a montré à Facebook. À l’aide d’une simple image trafiquée, ils étaient capables de voler le compte d’un utilisateur, et d’utiliser plusieurs outils du smartphone, comme l’appareil photo ou le micro.

La dernière vulnérabilité découverte par les chercheurs de Check Point était d’une simplicité extrême à exploiter. Il suffisait que la victime télécharge sur son smartphone une image trafiquée qu’il aurait reçue par email, SMS, ou n’importe quelle app de messagerie. Une fois l’image enregistrée, l’attaque se lançait dès la première ouverture de l’app d’Instagram. À la clé : vol de compte, enregistrement à l’insu de l’utilisateur ou encore suivi GPS de la victime…

Concrètement, les chercheurs trafiquaient une photo pour qu’elle déclenche un bug. L’image se présentait à Instagram comme une image de petite petite dimension alors qu’elle avait en réalité une grande taille, ce qui faisait « bugger » un module de compression. Les chercheurs pouvaient ensuite s’engouffrer dans ce bug pour court-circuiter le fonctionnement de l’app, et exécuter du code à distance via l’application, c’est-à-dire envoyer des commandes de leur choix depuis leurs ordinateurs.

Image d'erreur

Une seule image, n’importe laquelle, pouvait être trafiquée pour piéger un utilisateur d’Instagram. // Source : Rick Astley

Instagram demande à l’utilisateur de lui donner accès aux contacts, à l’espace de stockage, aux données GPS, à la caméra et aux micros. Autant d’outils que les chercheurs pouvaient détourner et utiliser à leur guise grâce aux permissions accordées par l’utilisateur. Les experts auraient pu, par exemple, s’en servir pour espionner le propriétaire du smartphone en déclenchant son micro ou son téléphone quand ils le souhaitaient. Et ce n’est pas tout : la vulnérabilité permettait également de s’emparer d’un compte, et d’obtenir un accès aux messages et photos privés échangés sur la plateforme.

Les chercheurs étaient aussi capables de faire crasher l’app à l’infini, jusqu’à ce que l’utilisateur soit forcé de la réinstaller. Cette attaque, que Check Point a signalée à Facebook (le propriétaire d’Instagram) aux alentours de mars, a été réparée. L’entreprise de Zuckerberg l’a épinglée sous le nom CVE-2020-1895, avec un score de criticité (de dangerosité, en quelque sorte) de 7,8/10.

Un outil mal intégré et toute l’app devient vulnérable

Comme l’expliquent en détail les chercheurs, les développeurs d’apps modernes s’appuient sur des librairies de code existantes pour mettre en place certaines fonctionnalités basiques, comme la gestion du son, la connectivité au réseau ou encore la compression des images. Ce mode opératoire leur évite de perdre du temps sur des tâches ardues, que d’autres ont déjà réalisé avec succès.

Pour gérer la compression des images au format JPEG sur sa plateforme, Instagram a donc intégré Mozipeg, un projet open source lancé par Mozilla. Mais les développeurs ont mal configuré l’intégration, de sorte que le processus d’analyse des images pouvait déclencher des problèmes dans l’utilisation de la mémoire. Les chercheurs pouvaient ensuite détourner cette mémoire corrompue à leurs fins pour exécuter leur code à distance.

À cause d’une erreur petite en taille par rapport aux milliards de lignes de code de l’app, Instagram a mis en danger ses centaines de millions d’utilisateurs. Mais heureusement, la petite taille de l’erreur lui a aussi permis de ne pas être détectée par des malfaiteurs. Tant que les chercheurs repèrent les vulnérabilités plus vite que les pirates, les utilisateurs n’ont même pas conscience qu’elles existent.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !