Actuellement, Facebook ne chiffre pas une partie des données qui circule sur la version mobile d’Instagram, son service de partage de photos et vidéos disponible sur plateformes mobiles. Pourtant l’entreprise a annoncé que, dans le futur, elle projette de chiffrer l’intégralité des données, mais aucune date d’échéance n’a encore été fixée.
En d’autres termes, lorsque vous utilisez Instagram sur un appareil mobile, un pirate connecté sur le même réseau peut éventuellement accéder aux photos que vous regardez, avoir accès à vos cookies temporaires et en déduire vos identifiants de connexion.
Samedi, Mazen Ahmed, un spécialiste en sécurité informatique chez Defensive-Sec, a publié sur son blog, un article qui dénonce le faible taux de chiffrage de l’application. Il a testé la version d’Instagram pour Android en utilisant WireShark, un analyseur de paquet.
WireShark permet de visualiser les paquets de données qui passent, et il fonctionne aussi bien sur un réseau local que sur un public, n’importe où dans le monde. Si les données sont chiffrées, les paquets seront illisibles. Par contre, si les données ne sont pas chiffrées, WireShark les décode et permet à son utilisateur de les consulter sous forme de texte.
Quant à Ahmed, il a remarqué qu’Instagram chiffrait seulement certaines des données transitant via son application mobile.
Dans une interview par mail accordée à notre blog Kaspersky Daily, Ahmed déclare qu’il a seulement essayé avec l’application Instagram pour Android. Cependant, il pense que cela s’applique aussi pour le système iOS d’Apple, car tous deux dépendent du même serveur, et ce dernier n’applique pas la totalité des règles du SSL.
Dans son post, Ahmed raconte qu’il a contacté Facebook à ce sujet, et selon ses dires, la compagnie reconnaît les faits mais se justifie de la manière suivante :
» On en a longtemps discuté au sein de l’entreprise et on a décidé d’appliquer le protocole HTTPS à l’intégralité de l’application Instagram. Pour autant, on n’a pas encore fixé de date. Actuellement Facebook accepte le risque que certaines données d’Instagram circulent sous HTTP et non sous HTTPS. Nous sommes conscients du problème et nous nous efforçons de le résoudre dans les plus brefs délais. »
@Facebook néglige le chiffrage des données sur l’application mobile d’@Instagram. #sécurité
Tweet
Afin de confirmer ces informations, le Kaspersky Daily a tenté de joindre Facebook, mais ils n’ont pas immédiatement donné suite à notre requête. Si vous avez peur qu’on espionne vos trafics de données sur Instagram, la meilleure solution, selon Ahmed, est de ne plus utiliser l’application mobile tant que Facebook ne pense pas sérieusement à les chiffrer. Il conseille aussi aux utilisateurs de s’en tenir à la version d’Instagram en ligne, qui applique plus rigoureusement le protocole HTTPS.