instagram hacking tool instasheep download
Il ya deux jours, The Hacker News a signalé une faille cruciale dans le plus populaire des services de partage d'images et de vidéos, l'application mobile Instagram, qui permet à un attaquant d'hijacker (prendre le contrôle) un compte utilisateur et accéder joyeusement à ses photos privées, les supprimer, éditer les commentaires et bien évidemment poster de nouvelles images.

Hier, un développeur Londonien, Stevie Graham, a publié un outil appelé "Instasheep" en référence à Firesheep, une extension pour Firefox qui peut être utilisée pour compromettre automatiquement des comptes en ligne, dans certaines circonstances, en un clic. 

Graham avait découvert cette faille il y a déjà plusieurs années et a été choqué de réaliser qu'elle n'avait toujours pas été comblée par Facebook. Il a conçu son programme après avoir reporté le bug, affectant l'application mobile Instagram sur iOS, à Facebook qui a refusé de payer une prime de report de vulnérabilité. 

Graham tweet alors : “Ont refusés prime de bug. Prochaine étape, écrire un outil automatisé permettant le détournement de comptes en masse” et encore “Vuln assez grave, FB. Corrigez svp.

Le géant des réseaux sociaux, Facebook, serait au courant du problème relatif à son application iOS Instagram et travaillerait sur un correctif en déployant le HTTPS au travers du portfolio, mais il n'a pas été clairement dit combien de temps cela allait prendre.
Une bonne utilisation de cette vulnérabilité pourrait exposer les utilisateurs d'applications iOS à des attaques type Man-in-the-Middle (MitM, soit l'interception de communications entre 2 personnes sans que ni l'une ni l'autre ne se rende compte de la compromission du canal) car Instagram envoie des données non cryptées dans ses cookies de session. Un attaquant pourrait alors réutiliser ces cookies de session HTTP interceptés, sur un autre système / navigateur et prendre le contrôle de la session du compte Instagram de la victime. 
"Je ne suis pas d'accord avec le fait que la difficulté soit une barrière. Tout ce qu'il faut, c'est une personne suffisamment qualifiée pour sortir un script tellement simple qu'un débutant pourrait l'utiliser. A ce moment là, la boîte de Pandore aura volée en éclats” a écrit Graham sur YCombinator.

Le co-fondateur d'Instagram Mike Krieger a répondu via le même site YCombinator et a dit, “Nous avons entrepris d'accroître notre couverture HTTPS -Instagram Direct, par exemple, que nous avons lancés fin de 2013, est 100% en HTTPS. Pour le reste de l'application, en particulier les terminaux de lecture sensibles à la latence et autre expérience de navigation, nous travaillons activement au déploiement HTTPS tout en veillant à ne pas influer à la baisse sur les performances, la stabilité et l'utilisation générale de l'appli utilisateur. C'est un projet que nous espérons compléter bientôt, et nous allons partager nos expérimentations sur notre blog, de cette façon les autres entreprises seront tenues au courant de l'avancement.

Graham a pondu son programme automatisé "Instasheep" afin de forcer la main à Facebook, bien que la société devrait accélérer ses efforts sur le déploiement du protocole HTTPS.

Stay tuned on LZ

Mugenkun