Instagram avoue une fuite de mots de passe en clair

Instagram avoue une fuite de mots de passe en clair

High-tech
DirectLCI
OUPS - Certains utilisateurs de l'application auraient été surpris de découvrir leurs mots de passe lisibles en clair. Un bug qui -ironie du sort- provient d'une fonction pensée pour améliorer la protection des données personnelles.

C'est un bug circonscrit et transitoire, déjà comblé par Instagram, mais qui met en lumière la difficulté qu'il peut y avoir à garantir la sécurité des données de centaines de millions d'utilisateurs. Depuis le mois d'avril, le service avait mis en ligne une nouvelle fonction, "Télécharger les données", qui permet -comme on peut déjà le faire sur Facebook ou certains services de Google- de télécharger en un seul fichier toutes les données que le service a sur vous, vos photos, commentaires, messages, listes d'amis et tout le reste.


Une fonction ajoutée à Instagram pour mettre le service en conformité avec le RGPD, le nouveau règlement européen sur la protection des données. Et c'est bien là l'ironie du sort : après avoir demandé de pouvoir télécharger leurs données, plusieurs utilisateurs ont découvert qu'Instagram leur envoyait par e-mail un lien de téléchargement où figurait leur mot de passe, en clair.

En vidéo

Inventer un mot de passe, un véritable casse-tête

L'histoire ne dit pas si le bug existe depuis le lancement de la fonction de téléchargement en avril, auquel cas le temps écoulé jusqu'à sa découverte serait étonnant. Selon Instagram, qui réagissait à un article de nos confrères de The Information, le bug "a été découvert en interne", et n'aurait concerné "qu'un petit nombre d'utilisateurs". 


Alors certes, les liens contenant le mot de passe en clair n'ont pas été rendus publics, juste envoyés par e-mail aux possesseurs des comptes correspondants. Mais le bug pose néanmoins deux vrais soucis de sécurité : un utilisateur qui cliquerait sur le lien sur un ordinateur partagé permettrait à tout autre utilisateur de la même machine de remonter dans l'historique de navigation pour retrouver son mot de passe en clair. Surtout, si Instagram a attaché des mots de passe en clair à ces liens, c'est bien qu'ils sont stockés en clair quelque part. Ce qui pose donc toutes sortes d'autres questions sur la gestion de la sécurité des comptes sur le réseau social. Et qui expliquerait, en outre, pourquoi Instagram n'est pas très pro-actif dans sa communication sur un bug transitoire, et circonscrit.

Sur le même sujet

Plus d'articles

Lire et commenter