Le bug d’API qui a permis un accès aux données personnelles — adresse mail et numéro de téléphone — de plusieurs célébrités présentes sur Instagram a peut-être eu des conséquences plus importantes que ne le laissait entendre le réseau social. Une base de données contenant 10 000 identifiants Instagram a en effet été mise en ligne jeudi 31 août, comme le rapporte Ars Technica.
Dans un mail en date du 30 août adressé à tous les comptes certifiés « par excès de prudence », Instagram affirmait avoir corrigé le bug d’API, sans toutefois indiquer la portée de cette intrusion — qui n’aurait donc pas seulement touché les célébrités, appelées à renforcer la sécurité de leur compte.
Depuis, un internaute — qui a contacté Ars Technica — affirme avoir récolté les données personnelles de 6 millions d’utilisateurs. Il les propose librement à la vente sur un site, moyennant 10 dollars par compte.
« Les indications montrent que ces données sont véridiques »
En l’absence de confirmation d’Instagram sur la véracité de cet ensemble — même si le réseau social enquête actuellement sur le sujet –, Ars Technica, qui a pu parcourir un échantillon de 10 000 comptes fourni par le mystérieux internaute, indique : « 9 911 incluent un numéro de téléphone ou un mail, 5 341 contiennent un numéro de téléphone et 4 341 comportent [les deux]. […] Une recherche menée sur une douzaine de noms d’utilisateurs a prouvé qu’ils correspondaient à de véritables comptes et qu’ils concordaient avec les numéros de téléphone liés. »
Cet échantillon, qui concerne notamment des comptes suivis par des millions d’abonnés, a également été analysé par Troy Hunt, un spécialiste en cybersécurité : « Ma conclusion, c’est qu’on ne trouve rien [dans cet ensemble] qui désavoue les données. Il est possible qu’elles aient été compilées depuis d’autres sources, mais toutes les indications montrent qu’elles sont véridiques. » Le spécialiste a par ailleurs précisé sur Twitter : « Je me suis penché [sur cette affaire] sérieusement, je suis quasiment sûr que c’est véridique. »
Instagram n’a pas encore confirmé ou infirmé cette fuite de données
Le mystérieux revendeur de données, qui aurait découvert le bug d’API sur le chat IRC, prétend avoir puisé automatiquement dans les données d’Instagram au rythme d’environ 500 000 comptes par heure, avant que le réseau social ne corrige le bug — 12 heures après le début de son opération.
Le 28 août, la publication (éphémère) de photos de Justin Bieber nu sur le compte Instagram de son ex-compagne, la chanteuse Selena Gomez avait créé l’émoi auprès de ses 125 millions d’abonnés, sans que l’origine de ce potentiel piratage ne soit éclaircie.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.