Spécialisée en cybersécurité, la société Check Point a découvert une faille de sécurité majeure dans l’application Instagram. Elle a informé Facebook, qui a été en mesure de corriger la vulnérabilité avant de publier un document où il évoque cette dernière plus en détail.
Un contrôle absolu de votre compte Instagram (… et pas que)
Jugée « critique », la faille en question concerne « le traitement des images d’Instagram ». Plus concrètement, elle permettait à des personnes mal intentionnées d’utiliser une image préalablement trafiquée afin d’entraîner un bug dans l’application.
Grâce à celui-ci, il était possible d’exécuter plusieurs actions malveillantes. Ces dernières allaient du vol de compte au lancement du micro ou de la caméra, rien de très rassurant donc. Instagram demande de nombreux accès à l’utilisateur afin de pouvoir être utilisé pleinement, que ce soit celui du micro, de la caméra, mais aussi des photos, des contacts ou encore des données de géolocalisation. Autant de données (très) personnelles qui étaient vulnérables à cause de cette faille, en plus du vol de comptes qui donne un accès direct aux fichiers multimédias et échanges privés des utilisateurs.
Les images en question pouvaient être envoyées via plusieurs canaux, que ce soit les SMS, les emails ou les messageries comme WhatsApp puis il suffisait qu’elles soient enregistrées sur le téléphone de la victime.
Pour que la faille puisse être exploitée, les pirates informatiques avaient simplement à modifier une image afin qu’Instagram juge que son format était trop petit —alors qu’il était de grande taille. S’en suivait un bug du module de compression, une faille parfaite pour des personnes mal intentionnées souhaitant exécuter des actions à distance par le biais de l’application de photo. N’importe quelle image, au nombre d’une seulement, était suffisante pour entraîner le bug nécessaire à l’exploitation de la vulnérabilité.
Facebook a rapporté cette faille sous le nom CVE-2020-1895, un avis qui évoque le bug du module de compression mis en avant par les chercheurs en sécurité de Check Point. Celui-ci concernait spécifiquement Mozjpeg, un décodeur JPEG open source imaginé par Mozilla. Celui-ci a été mal configuré par les développeurs de Facebook lors de la mise en service, ce qui a permis la vulnérabilité.
