Instagram a confirmé qu’un petit nombre de comptes vérifiés avaient été attaqués, via un bug dans son API. Parmi les victimes, la chanteuse Selena Gomez, dont le compte a été temporairement suspendu lundi dernier, après la publication de photos dénudées de Justin Bieber.
Mauvais coup de publicité pour Instagram, dont la sécurité des comptes utilisateurs se retrouve sous le feu des projecteurs. La société – qui appartient pour rappel à Facebook – a confirmé qu’il existait un bug dans son interface de programmation. Exploité, il a permis à un ou plusieurs pirates de récupérer l’adresse email et le numéro de téléphone de plusieurs comptes vérifiés appartenant à des célébrités.
Une faille confirmée...
La seule victime « connue » est Selena Gomez, Instagram n’ayant fourni aucun nom. Son compte Instagram, le plus populaire sur le service avec 125 millions de followers, a été mis hors ligne pendant quelques minutes lundi. Une action qui suivait la publication sur son profil de plusieurs photos dénudées de Justin Bieber. Des photos qui n’étaient d’ailleurs pas nouvelles puisqu’elles avaient été révélées en 2015.
La faille n’a été confirmée que mercredi par Instagram, qui a surtout évoqué quelques comptes, et le risque pour ces derniers que des données personnelles (comme le numéro de téléphone) se retrouvent dans la nature. Le danger bien sûr est que ces informations soient utilisées pour bâtir des campagnes de spearfishing, d’autant que les profils vérifiés appartiennent dans la grande majorité à des personnalités politiques, sportives ou artistiques.
Comme l’indique Instagram dans son communiqué, « aucun mot de passe n’a été exposé ». La société ajoute : « Nous avons rapidement corrigé le problème et menons actuellement une enquête approfondie ». Elle rappelle bien sûr que la sécurité des utilisateurs est sa priorité et que toutes les personnes concernées ont été prévenues. Étrangement, elle n’en profite pas pour remettre une petite couche sur les bénéfices de la double-authentification.
... et 6 millions de victimes ?
Mais selon The Daily Beast, Instagram sous-estimerait – volontairement ou non – la portée du problème. L’un des pirates, « Doxagram », a fourni à nos confrères un échantillon de 1 000 comptes Instagram a priori touchés. La liste contenait l’adresse email, le numéro de téléphone ou les deux. The Daily Beast a tenté de créer des comptes Instagram avec une sélection d’adresses email de l’échantillon, le service répondant à chaque fois qu’elles étaient déjà utilisées. Point intéressant, la plupart de ces adresses n’étaient pas référencées sur le site « Have I Been Pwned? », indiquant ainsi qu’elles ne provenaient pas d’une autre fuite comme celle de LinkedIn.
Toujours selon nos confrères, les pirates seraient en possession des données de 6 millions de comptes, un site web ayant été mis en place pour les consulter… de manière payante. 10 dollars sont ainsi réclamés pour toute recherche.
Instagram n’a cependant pas confirmé l’ampleur de la brèche. Ces chiffres sont donc à prendre avec des pincettes.
Commentaires (36)
il y a aussi eu une autre fuite via iCloud ? ou c’est la même vague ? (Fappening 2.0
" />)
Mais instagram (que je n’ai jamais utilisé) n’est pas pour mettre justement des photos destinées au public ?
Si, mais des photos que TU choisis, pas que le pirate choisi à ta place (si j’ai bien compris…) 
" />
Fappening: à qui le tour?
" />
Quitte à envoyer/stocker des photos de nu, il y a d’autres plateformes moins risquées …
Ouais ben qu’ils publient les photos de moi tout nu, c’est pas moi qui sera le plus gêné
" />
Je sais pas exactement, je ne l’utilise pas… 
" /> Je crois qu’il y a un mode public/privé en effet.
Mais si les vils pirates décident d’uploader de nouvelles photos compromettantes là ça devient plus “rigolo”. Pas certain que Selena Gomez ait uploadé des photos de Justin, même en privé !
Quelle idée d’aller se foutre a poil sur le net…
J’ai envie de die “bien fait pour eux”
Une partition chiffrée de TON disque dur.
" />
Il y a effectivement le choix d’avoir un profil public ou privé. Tant que tu ne valides pas la publication une photo après l’avoir modifié via les filtres Instagram, celle-ci n’est pas hébergée sur leurs serveurs. Donc cette attaque, d’un point de vue photos volées est bien moins importante que celle avec les services de stockage en ligne privé (iCloud, Dropbox, etc…).
La majorité des célébrités ont leur profil en public, donc à part le vol de données (téléphone, e-mail), il n y aura pas de leak de photos.
C’est pour ça que’il y a quelques jour, en ouvrant mon appli Insta, j’ai eu une alerte de connexion depuis une autre ville du monde (je ne me souviens plus), j’ai tout de suite changer mon mot de passe !
Quelle idée d’utiliser des outils comme Instagram, tout simplement.
Bien fait pour eux, en effet.
ça me fait toujours rire ces gens qui s’offusquent de la nudité.
même avec une carotte dans le cul y a rien de foufou, c’est la vie.
la vie privée est une invention récente
Blamer les victimes plutôt que les coupables, quelle classe…
Lol.
Les “coupables” sont des crapules, en effet. Et c’est évident, donc ne sert a rien d’être relevé.
Par contre les “victimes” sont des idiots. Si tu crains qu’une photo nue de toi sorte, tu ne la sors pas, point. Et on parle là de gens qui ont des conseillers en com et dont la carrière dépend de leur image…
c’est dredi faut bien que quelqu’un se dévoue pour dire des conneries
" />
Étrangement, elle n’en profite pas pour remettre une petite couche sur les bénéfices de la double-authentification.
Cher Mr/Mme _________,
Suite à une attaque informatique contre notre site avec double authentification, vos coordonnées email et téléphonique ont été volées et seront surement utilisées contre vous.
Nous sommes désolé de la gêne occasionnée, et souhaitons vous revoir très bientôt sur notre site avec double authentification.
Bisous.
Justin, Justin, moi je m’en fou, personne n’a un truc sur Selena ??? 
" />
Non c’est soit tout public, soit tout privé :)
C’est dans ces cas là que je me demande comment notre espèce a pu survivre aussi longtemps.