Cet été, les utilisateurs d’Instagram se sont plaints massivement du piratage de leurs comptes et de nombreuses victimes ont été autorisées à utiliser l’authentification à deux facteurs (2FA) via des messages SMS.
Il devint vite évident que le problème était l’insécurité d’une telle méthode 2FA dans son ensemble.Par exemple, en juillet 2018, des journalistes de la division Mother Board ont publié les résultats d’une enquête prouvant que les assaillants «volaient» souvent les cartes SIM des utilisateurs, ce qui leur permettait de voler des comptes et la personnalité d’autres personnes par dizaines et même par centaines.
Il convient de souligner qu’en 2016, l’Institut national des normes et de la technologie (NIST) a présenté un document intéressant selon lequel l’utilisation de messages SMS pour l’authentification à deux facteurs est «inacceptable» et «non sécurisée». Les experts en sécurité en parlent depuis longtemps, car il peut y avoir beaucoup d’options d’attaque ici. Par exemple, les attaquants peuvent exploiter les vulnérabilités de SS7 et intercepter des messages, mettre en œuvre un échange SIM, c’est-à-dire réémettre la carte SIM d’une victime, et enfin, les messages SMS peuvent intercepter même les logiciels malveillants ayant pénétré dans l’appareil.
Les développeurs Instagram ont écouté les avis d’experts et les plaintes des victimes. Ils ont annoncé qu’ils amélioraient l’authentification à deux facteurs de leur service en ajoutant un support pour les applications d’authentification tierces (Google Authenticator, DUO Mobile), qui sera lancé cette semaine. Les utilisateurs pourront choisir la solution pour la mise en œuvre de 2FA dans Google Play ou sur l’App Store en activant l’option correspondante dans les paramètres du compte.
En outre, pour lutter contre les robots, les faux comptes étoiles et les abus, les développeurs ont introduit une nouvelle fonctionnalité: À propos de ce compte. Grâce à lui, les utilisateurs peuvent voir l’historique du compte d’une autre personne et connaître la date de sa création. le pays auquel le compte appartient; informations sur le changement de nom d’utilisateur; rechercher des profils dont les bases d’abonnés se chevauchent.
En outre, les utilisateurs peuvent désormais soumettre une demande de vérification de leurs comptes en fournissant aux opérateurs Instagram des copies de documents et en indiquant leur vrai nom. Ces comptes auront une coche correspondante.