L'authentification à deux facteurs n'est pas sans faille lorsqu'un internaute tombe dans le piège d'un formulaire imitant parfaitement la page de connexion. © Pixabay, Wokandapix

Tech

Instagram est menacé par une vaste attaque de phishing

ActualitéClassé sous :Sécurité , Instagram , données personnelles

Des pirates sont parvenus à imiter la page d'authentification à deux facteurs d'Instagram pour piéger des internautes. C'est du phishing très classique mais de plus en plus sophistiqué.

2FA. Ou « authentification à deux facteurs ». C'est la parade qu'ont trouvé les géants d'Internet, mais aussi les banques, les sites de e-commerce et autres réseaux sociaux, pour protéger votre compte personnel des pirates. Le principe est simple : le site en question vérifie votre identité en deux étapes. Un simple login et un mot de passe ne suffisent plus, et il faut désormais un code envoyé par SMS ou par email pour se connecter.

Malgré ça, les pirates parviennent à déjouer cette protection. Comment ? En imitant quasi parfaitement les formulaires à double authentification. C'est ce qu'a découvert le spécialiste en sécurité Sophos, et ce sont les utilisateurs d'Instagram qui sont visés par cette forme de phishing.

Des habitudes à prendre pour éviter le piège

Dans l'email, on informe l'internaute que Instagram a détecté une activité suspecte sur son compte, et il est invité à entrer le code pour prouver son identité. En fait, le lien présent dans l'email mène les utilisateurs sur une fausse page de connexion Instagram. Convaincus qu'il s'agit d'une authentique page de connexion, ils entrent leur login et leur mot de passe, et le piège se referme.

Pour éviter de tomber dans le panneau, deux rappels utiles. Toujours vérifier le lien qui s'affiche dans la barre du navigateur. Un site frauduleux possède une adresse qui ne correspond pas à Instagram, et le plus souvent il utilise une extension peu commune, et pas en « .com ». Mieux encore, il faut prendre l'habitude de ne pas cliquer sur les liens intégrés dans des emails. Même si vous recevez une alerte de sécurité, il est préférable de saisir manuellement l'adresse dans le navigateur. Enfin, repérez s'il y a des fautes d'orthographe. C'est souvent le signe d'un email de phishing...

Voici la fausse page de connexion pour piéger les internautes. À quelques détails près, c'est la même que l'originale. © Sophos
Pour en savoir plus

Instagram : les données de milliers de marques, célébrités et d'influenceurs dans la nature

Les informations personnelles de millions d'influenceurs Instagram, mais aussi de marques et de stars, ont fuité sur Internet. Elles étaient disponibles sur un serveur qui n'était pas protégé par un mot de passe. Au total, les données de près de 50 millions de compte étaient accessibles.

Publié le 21/05/2019 par Fabrice Auclert

Facebook doit faire face à un nouveau scandale autour du respect de la vie privée, après la récente faille dans WhatsApp qui a été utilisée pour installer un logiciel espion. Cette fois, le problème concerne Instagram, un réseau social de partage de photos qu'il a racheté. Les données personnelles de millions d'influenceurs, de célébrités et de marques présents sur ce réseau ont ainsi fuité sur la toile, au travers d'une base de données non sécurisée.

Cette dernière a été découverte par le chercheur en sécurité Anurag Sen, et l'affaire a été révélée par le site TechCrunch. La base de données, qui n'était pas protégée par des mots de passe et donc accessible à tous, était hébergée sur Amazon Web Services. Elle contenait des informations sur plus de 49 millions de comptes. Certaines données étaient publiques, comme leur photo de profil, leur bio ou encore le nombre de followers, mais d'autres étaient privées comme l'adresse e-mail et le numéro de téléphone.

Les données collectées par une firme de marketing

La faute incomberait à une firme de marketing indienne Chtrbox, qui paie les personnalités du réseau pour le placement de marques. La firme avait d'ailleurs inclus un score de popularité dans sa base de données qui servirait, semble-t-il, à déterminer la rémunération pour chaque publicité.

Facebook a déclaré enquêter pour déterminer si ces informations proviennent directement d'Instagram ou depuis d'autres sources, et a demandé à Chtrbox la provenance des données et comment elles avaient été rendues publiques. Une fois de plus, le réseau de Mark Zuckerberg se retrouve au cœur d'une affaire de données personnelles exploitées par une firme spécialisée dans le marketing. Et cette fois, sans la moindre protection.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour.

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !

Cela vous intéressera aussi