Pour pirater des comptes Instagram, les chercheurs n’avaient besoin que d’une image

La dernière vulnérabilité découverte par les chercheurs de Check Point était d’une simplicité extrême à exploiter. Il suffisait que la victime télécharge sur son smartphone une image trafiquée qu’il aurait reçue par email, SMS, ou n’importe quelle app de messagerie. Une fois l’image enregistrée, l’attaque se lançait dès la première ouverture de l’app d’Instagram. À la clé : vol de compte, enregistrement à l’insu de l’utilisateur ou encore suivi GPS de la victime…

Concrètement, les chercheurs trafiquaient une photo pour qu’elle déclenche un bug. L’image se présentait à Instagram comme une image de petite petite dimension alors qu’elle avait en réalité une grande taille, ce qui faisait « bugger » un module de compression. Les chercheurs pouvaient ensuite s’engouffrer dans ce bug pour court-circuiter le fonctionnement de l’app, et exécuter du code à distance via l’application, c’est-à-dire envoyer des commandes de leur choix depuis leurs ordinateurs.

Une seule image, n’importe laquelle, pouvait être trafiquée pour piéger un utilisateur d’Instagram. // Source : Rick Astley

Instagram demande à l’utilisateur de lui donner accès aux contacts, à l’espace de stockage, aux données GPS, à la caméra et aux micros. Autant d’outils que les chercheurs pouvaient détourner et utiliser à leur guise grâce aux permissions accordées par l’utilisateur. Les experts auraient pu, par exemple, s’en servir pour espionner le propriétaire du smartphone en déclenchant son micro ou son téléphone quand ils le souhaitaient. Et ce n’est pas tout : la vulnérabilité permettait également de s’emparer d’un compte, et d’obtenir un accès aux messages et photos privés échangés sur la plateforme.

Les chercheurs étaient aussi capables de faire crasher l’app à l’infini, jusqu’à ce que l’utilisateur soit forcé de la réinstaller. Cette attaque, que Check Point a signalée à Facebook (le propriétaire d’Instagram) aux alentours de mars, a été réparée. L’entreprise de Zuckerberg l’a épinglée sous le nom CVE-2020-1895, avec un score de criticité (de dangerosité, en quelque sorte) de 7,8/10.

Un outil mal intégré et toute l’app devient vulnérable

Comme l’expliquent en détail les chercheurs, les développeurs d’apps modernes s’appuient sur des librairies de code existantes pour mettre en place certaines fonctionnalités basiques, comme la gestion du son, la connectivité au réseau ou encore la compression des images. Ce mode opératoire leur évite de perdre du temps sur des tâches ardues, que d’autres ont déjà réalisé avec succès.

Pour gérer la compression des images au format JPEG sur sa plateforme, Instagram a donc intégré Mozipeg, un projet open source lancé par Mozilla. Mais les développeurs ont mal configuré l’intégration, de sorte que le processus d’analyse des images pouvait déclencher des problèmes dans l’utilisation de la mémoire. Les chercheurs pouvaient ensuite détourner cette mémoire corrompue à leurs fins pour exécuter leur code à distance.

À cause d’une erreur petite en taille par rapport aux milliards de lignes de code de l’app, Instagram a mis en danger ses centaines de millions d’utilisateurs. Mais heureusement, la petite taille de l’erreur lui a aussi permis de ne pas être détectée par des malfaiteurs. Tant que les chercheurs repèrent les vulnérabilités plus vite que les pirates, les utilisateurs n’ont même pas conscience qu’elles existent.

Instagram

Télécharger gratuitement