Mon compte Instagram a été piraté et l’authentification à deux facteurs n’a pas aidé

Mon compte Instagram a été piraté et l'authentification à deux facteurs n'a pas aidé


Après presque 40 ans dans la tech, ce qui devait arriver arriva. Un de mes comptes a été piraté. La cible ? Mon compte Instagram. Bien que je sois très actif sur les réseaux sociaux, Instagram était celui que j’utilisais le moins. Voici ce qui s’est passé.

Tout a commencé lorsque j’ai reçu un message Instagram plausible d’un ami. Son message demandait mon aide et incluait un lien de réinitialisation pour le compte. Plutôt que de me demander de cliquer sur le lien, ce que je ne ferais jamais, il m’a simplement demandé de lui renvoyer une capture d’écran du message incluant le lien. J’ai pensé : « Comment puis-je être piraté en envoyant une image PNG ? » Après tout, ce n’était pas un lien de réinitialisation pour mon compte. J’ai donc répondu avec l’image.

Il s’avère que la combinaison de l’URL sur l’image et de ma réponse leur a donné suffisamment d’informations pour prendre le contrôle de mon compte.

Instagram aux abonnés absents

Même lorsque j’ai vu que des problèmes se préparaient – un e-mail d’Instagram m’a demandé si je voulais changer mon numéro de téléphone pour un numéro au Nigeria – je n’étais pas trop inquiet. J’avais protégé mon compte avec une authentification à deux facteurs (2FA). Bien que l’authentification à deux facteurs ne soit pas parfaite, elle est meilleure que tout ce qui existe en matière de sécurité de base.

Mais, c’est ici que les choses ont mal tourné. Instagram aurait dû m’envoyer un e-mail avec un lien me demandant de « revenir sur cette modification ». Instagram n’a pas envoyé un tel message. Au lieu de cela, j’ai reçu des e-mails de <security@mail.instagram.com> qui fournissaient un lien sur la façon de « sécuriser votre compte ». Cela m’a fait tomber sur les pages d’aide d’Instagram pour un compte piraté, ce qui ne m’a pas aidé.

Entre-temps, j’ai reçu un autre message d’Instagram m’indiquant que mon compte était désormais associé à un nouveau compte e-mail. Une fois de plus, Instagram ne m’a pas donné la possibilité de refuser ce changement et le message m’a renvoyé à la page du compte Instagram piraté. Argh !

Preuve d’identité

J’ai suivi les conseils d’Instagram sur la manière de faire revenir mon compte. J’ai demandé un lien de connexion à partir de mon application Android Instagram. J’en ai reçu un, qui n’a pas fonctionné. Ensuite, j’ai demandé un code de sécurité. J’en ai obtenu un. Cela n’a pas fonctionné non plus, sans doute parce qu’à ce moment-là le compte répondait maintenant à sa « nouvelle » adresse e-mail et à son « nouveau » numéro de téléphone.

Ensuite, j’ai vérifié mon identité en fournissant l’adresse électronique et le numéro de téléphone avec lesquels je m’étais inscrit, ainsi que le type d’appareil que j’avais utilisé lors de mon inscription. J’avais espéré ce message car je doute fort que les personnes qui s’inscrivent à Instagram soient si nombreuses à le faire depuis un ordinateur de bureau Linux ! C’était une bonne idée, mais rien ne s’est produit.

Puis, comme mon compte contenait des photos de moi, j’ai pris un selfie vidéo pour confirmer que je suis une personne réelle afin de confirmer mon identité. Nada.

J’aurais bien appelé le numéro du support technique d’Instagram, sauf que (surprise) ce numéro n’existe pas. Après quelques recherches, j’ai pu envoyer un message directement au support technique d’Instagram. A vrai dire, Instagram ne facilite pas la recherche car le lien du support Instagram est en réalité une page Facebook. Bien joué, Meta !

Le Bored Ape Yacht Club en a aussi fait les frais

Mais même après ça, ça ne m’a pas servi à grand-chose. Je n’ai pas entendu un seul mot de leur part. Alors, j’ai décidé qu’il était temps de sortir l’artillerie lourde. J’ai envoyé un message en tant que Steven J. Vaughan-Nichols, journaliste spécialisé dans la technologie, aux relations publiques d’Instagram pour demander de l’aide et/ou une explication.

Cela n’a pas marché. Je suppose que je ne suis pas si spécial après tout.

Ainsi, si j’ai commis la première erreur en ouvrant la porte au piratage, Instagram est en grande partie responsable de son système 2FA, voire de l’ensemble de son système de soutien à la sécurité.

Mais, au moins, je ne suis pas seul. Le Bored Ape Yacht Club, un important collectif de jetons non fongibles (NFT), a perdu 3 millions de dollars de NFT à cause d’un pirate informatique qui a utilisé une attaque de phishing. Comme votre serviteur, le Bored Ape Yacht Club a déclaré : « Au moment du piratage, l’authentification à deux facteurs était activée et la sécurité entourant le compte IG suivait les meilleures pratiques. » Ils ont également dit qu’ils travaillaient avec la sécurité d’Instagram et qu’ils feraient un rapport sur ce qui s’est passé. C’était il y a presque un mois.

Tout ça pour… de la cryptomonnaie

Il semble qu’il y ait pas mal d’attaques de ce type en cours. J’ai vu de nombreux rapports de petites entreprises dont les comptes Instagram ont été détournés. Plusieurs de mes amis ont rapporté la même chose. L’un d’entre eux, qui travaille dans les relations publiques en matière de sécurité, rapporte qu’il a contacté des « white hat » pour leur demander conseil, mais qu’ils n’ont rien pu faire.

Instagram semble être un trou noir de sécurité, les plaintes des utilisateurs y entrent et rien n’en sort. Il avait également activé l’option 2FA et a été bombardé par « toutes sortes de messages bizarres demandant la confirmation de la modification de mon mot de passe ». J’ai également reçu de nombreux e-mails de IG me demandant de réinitialiser mon mot de passe. J’ai ensuite reçu une lettre de T-Mobile, mon opérateur téléphonique, me demandant « de bloquer la carte SIM de mon compte ». Les blocages SIM sont utilisés pour empêcher le clonage de la carte SIM de votre téléphone, un moyen populaire de contourner le système 2FA basé sur les SMS. Il a également « déposé un rapport de police et demandé à la police de contacter IG ». Après tout cela, « l’assistance d’IG était inutile » et il a fini par perdre son compte.

Personnellement, cela a été vraiment ennuyeux, mais cela ne m’a pas vraiment dérangé à ce point. J’avais moins de 100 followers sur Instagram. Mon pirate semble utiliser mon ancien compte pour envoyer du spam de cryptomonnaie. Tous ceux qui me connaissent savent que je pense que les cryptomonnaies sont une arnaque. J’ai fait passer le mot que mon compte a été piraté, et que les gens devraient le signaler, l’enlever de leurs amis et le bloquer.

On pourrait penser qu’avec tous ces rapports, plus de deux douzaines de personnes m’ont dit qu’elles l’avaient signalé, Instagram aurait pu faire le rapprochement et réaliser que mon compte avait été piraté. Trois semaines plus tard, Instagram n’a toujours pas compris.

Business en péril

Mais, ça pourrait être pire. Des pirates prennent le contrôle de comptes Instagram d’entreprises et d’influenceurs et exigent le paiement de rançongiciels jusqu’à 40 000 dollars.

Ce qui est irritant pour moi est un tueur d’entreprise pour d’autres. Je ne verserai pas de larmes pour le Bored Ape Yacht Club. Les NFT sont aussi des arnaques et si vous pensez le contraire, je vous vendrai volontiers un NFT du pont de Brooklyn. Cependant, de nombreux ateliers de design, vidéographes, photographes et spécialistes du marketing en dépendent pour leur subsistance.

Si Instagram n’améliore pas son niveau de sécurité, il est temps de trouver une autre plateforme pour votre activité. J’ai fait, tout au plus, une erreur mineure, et j’ai perdu mon compte. Instagram, avec ses défenses de sécurité pathétiques, pourrait perdre votre compte bien plus précieux et vous n’auriez aucun moyen de restaurer votre compte ou vos followers.

Source : ZDNet.com





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.