Avec plus de 100 millions de photos téléchargées chaque jour et près d’un milliard d’utilisateurs actifs, Instagram est l’une des plateformes d’échange les plus utilisées dans le monde. Elle sert de support de communication aux entreprises et peut de se fait nuire à leur réputation ou les espionner en cas de prise de contrôle par des personnes ou des groupes malveillants.
Au début de l’année, les chercheurs de Check Point ont découvert une vulnérabilité critique dans l’application Instagram, qui aurait permis à un pirate de prendre le contrôle du compte Instagram d’une victime et de transformer son téléphone en outil d’espionnage, simplement en lui envoyant un fichier image piégé. Lorsque l’image est enregistrée et ouverte dans l’application Instagram, la vulnérabilité associée fournirait au pirate un accès complet aux messages et aux images Instagram de la victime, lui permettant de poster ou de supprimer des images à volonté, ainsi que d’accéder aux contacts du téléphone, à l’appareil photo et aux données de localisation.
Les chercheurs de Check Point ont mis au jour une vulnérabilité critique qui pourrait permettre à des pirates une exécution de code à distance ou ce que l’on appelle techniquement une RCE. Cette vulnérabilité pourrait permettre à un pirate d’effectuer toutes les actions qu’il souhaite dans l’application Instagram (même si ces actions ne font pas partie de la logique ou des fonctionnalités de l’application). Comme l’application Instagram dispose d’autorisations très étendues, un pirate peut transformer instantanément le téléphone ciblé en un parfait outil d’espionnage.
Not secure by design
Comment une application aussi populaire peut-elle comporter des vulnérabilités, alors que d’énormes quantités de temps et de ressources sont investies dans son développement ? En fait, la plupart des développeurs d’applications ne programment pas eux-mêmes toute l’application. Ils ont recours à des bibliothèques tierces pour traiter des tâches courantes (et souvent compliquées) telles que le traitement des images, le traitement du son, la connectivité réseau, etc. Cela permet aux développeurs de gagner du temps et de n’avoir à s’occuper que des tâches de programmation qui représentent la véritable valeur de l’application. De fait, la sécurité dépend de la fiabilité et de la sécurité de ces bibliothèques tierces.
Pour arriver à leurs fins, les enquêteurs de Check Point ont examiné les bibliothèques tierces utilisées par Instagram. Et la vulnérabilité qu’ils ont découverte réside dans la façon dont Instagram utilise Mozjpeg, un projet open source utilisé pour décoder les images au format JPEG téléchargées dans l’application. « Dans le scénario d’attaque que nous décrivons dans notre étude, expliquent les rédacteurs du rapport, un pirate peut simplement envoyer une image à sa victime cible par email par WhatsApp ou par une autre plateforme d’échange de fichiers. L’utilisateur ciblé enregistre l’image sur son téléphone, et lorsqu’il ouvre l’application Instagram, la vulnérabilité est exploitée, permettant au pirate d’accéder à toutes les ressources du téléphone qui sont préautorisées par Instagram ».
Les mobiles, cibles privilégiées pour l’espionnage
Ayant communiqué leur trouvaille aux équipes de Facebook, ce dernier a publié un correctif pour remédier au problème. Il n’en reste pas moins que cette attaque démontre la vulnérabilité des mobiles. Qu’ils soient pour un usage professionnel ou personnel, ils contiennent des applications vulnérables et forment de ce fait des cibles attrayantes pour les pirates.
Non seulement ceux-ci peuvent voler des données et des identifiants sur les téléphones, mais ils peuvent également les utiliser pour espionner leurs possesseurs, suivre leurs déplacements, écouter leurs conversations, et accéder aux données et aux messages. Malgré le cloisonnement des applications, les systèmes d’exploitation pour mobiles ne peuvent rien si des autorisations étendues sont accordées aux applications.