Image: Cathryn Virginia

Quand les hackés font appel aux hackers pour récupérer leur Instagram

Des documents internes et des témoignages d'utilisateurs montrent qu'Instagram a un gros problème de hacking.

|
30 janvier 2019, 10:36pm

Image: Cathryn Virginia

Le hacker a tout pris à Lindsie Comerford : boîte mail, compte bancaire et surtout compte Instagram, auquel 41 000 personnes étaient abonnées.

Lindise Comerford, 24 ans, est une influenceuse d'origine californienne. Particulièrement active et visible sur Instagram, elle alimente l'industrie multi-milliardaire du réseau social en créant du contenu original et en faisant la publicité de diverses marques.

« Après avoir passé deux ans à apprendre la photo, parcourir le monde et rencontrer quelques unes des personnes les plus incroyables que la Terre ait à offrir, ce n'est pas un truc que je suis prête à abandonner ou laisser détruire par quelqu’un qui n'en a pas le droit » écrit-elle sur son site web.

L’importance qu'accordent certains individus à leur compte Instagram n’a pas échappé aux hackers. Le réseau social est en effet la source de revenus principale d'un nombre croissant d'internautes. Résultat, une tendance émerge : les hackers s’emparent d'un compte Instagram et exigent une rançon à son propriétaire. Des documents internes d’Instagram que nous avons pu consulter indiquent qu'un grand nombre d'attaques de ce genre ont eu lieu récemment. Certaines victimes affirment que les méthodes de récupération de l'entreprise sont si inefficaces qu’elles ont dû demander à des experts des médias sociaux et, dans certains cas, à des hackers white hat.

Motherboard s'est entretenu avec quatre victimes de ce genre de piratage. Toutes soutiennent qu’Instagram a beaucoup tardé à leur répondre ou n’a envoyé que des réponses automatisées. Aucune n'a récupéré son compte au terme de ces échanges.

« Instagram n’a rien fait hormis la procédure automatisée qui n’a pas aidé » expliquent par mail Manon van Os et Bram School, les deux membres de The Flip Flop Wanderers, environ 57 000 abonnés sur Twitter. Ils ont été victimes de piratage la veille de Noël.

« J’ai passé les 72 premières heures à essayer de joindre le service d’aide et de soutien d’Instagram, mais ça n’a mené à rien », déplore pour sa part Lindsie Comerford. « J’ai appelé un nombre incalculable de fois et j’ai envoyé peut-être plus d’une centaine de mails. »

« Je n’ai jamais eu de réponse d’Instagram. Ils m’envoient juste leurs courriels automatisés » écrit la musicienne Kendra Erike, 35 000 abonnés.

Instagram sait que des utilisateurs perdent accès à leur compte à cause d’un piratage. Un document interne de la compagnie obtenu par Motherboard dicte la marche à suivre pour les employés qui doivent confirmer qu’une personne est bien la propriétaire du compte. L’une des raisons pour lesquelles les utilisateurs communiquent avec Instagram, indique le document, c’est que le hacker a changé les coordonnées de leur compte.

Le site web d'Instagram propose une procédure de récupération aux malheureux piratés. Elle est appelée « selfie + code » : la victime doit envoyer une photo de son visage en montrant un code qu’Instagram lui a préalablement envoyé, noté sur une feuille de papier. Les deux mains de l'individu doivent être visibles.

1548887689743-1547669763608-insta-hacking-2-final

D'après le document, cette procédure doit permettre à un employé de comparer le selfie aux précédentes photos publiées par l’utilisateur et ainsi vérifier qu'il s'agit de la même personne.

Instagram demande à ses employés de comparer les « indicateurs de correspondance faciale principaux » entre le selfie avec code et les photos plus anciennes. Parmi ces indicateurs, on trouve le nez de la personne et d’autres traits du visage permettant de déterminer si le compte est bien celui de la personne qui a pris le selfie. (Nous ne dévoilons pas la liste exhaustive des indicateurs pour ne pas aider les hackeurs à déjouer Instagram.)

L'entreprise doit lutter contre les personnes qui tentent d'exploiter son système d'assistance pour prendre possession de comptes qui ne leur appartiennent pas, affirme aussi le document. Plusieurs pages décrivent ce que les employés doivent faire s’ils reçoivent des selfies suspects, apparemment retouchés ou manipulés.

Plusieurs des victimes ont suivi cette procédure, sans succès. Manifestement, le système de récupération de compte d'Instagram ne fonctionne pas. Comment le dire autrement sachant que les victimes de piratage elles-mêmes n'en tirent rien ?

« Nous savons qu’il est pénible de perdre l’accès à son compte. Nous avons mis en place des mesures sophistiquées pour bloquer les personnes malveillantes avant qu’elles ne prennent possession des comptes, ainsi que des mesures pour aider les utilisateurs à récupérer leur compte » indique un porte-parole d’Instagram dans un mail à Motherboard.

Dans la plupart des cas évoqués dans cet articles, les hackers se sont fait passer pour une marque voulant collaborer avec l’influenceur ciblé : publications payées, envois de produits en échange de publicité.

« Quel est le coût d’une publication publicitaire sur votre page ? » a-t-on par exemple demandé par mail aux Flip Flop Wanderers.

Chaque mail comprend un lien d’hameçonnage qui semble diriger vers le compte Instagram de son émetteur. Mais il dirige la victime vers une fausse page de connexion à Instagram servant à transmettre le mot de passe de l’utilisateur au hackeur. Ce dernier change aussitôt l’adresse courriel et le mot de passe du compte, empêchant ainsi l’utilisateur d'y accéder. Il exige ensuite une rançon d’un montant relativement bas, par exemple 300$ en bitcoins. Parfois, même s’il reçoit la somme, le hackeur supprime le compte.

Instagram a si peu aidé les utilisateurs dépouillés de leur compte que ces derniers ont dû se tourner vers des experts des médias sociaux pour en récupérer l’accès. La plupart des victimes contactées par Motherboard ont obtenu l’aide de Juan Diego J Pelaez, un Colombien qui se dit spécialiste d’Instagram. Dans un échange avec Motherboard, ce dernier a laissé entendre qu’il lui arrivait de hacker pour aider.

« Je connais différentes façons de récupérer un compte » explique-t-il par mail. « C’est un peu difficile, alors il faut un peu de temps. » Le « spécialiste » aurait trouvé le moyen de se servir du système de récupération de compte d’Instagram de manière à ce que l'entreprise soit plus susceptible d'intervenir. Plusieurs des victimes interrogées pour cet article rapportent qu'elles ont été dirigées vers Pelaez soit par d’autres victimes, soit par des membres de communautés Instagram.

Palaez a demandé à au moins deux victimes de lui donner accès à leur boîte mail pour récupérer leur compte Instagram.

« Évidemment, j’étais très sceptique et craintive, mais Juan a réussi à la fois à gagner ma confiance et récupérer tous mes comptes » rapporte Lindsie Comerford. « Il m’a accompagné dans la procédure d'assistance technique d’Instagram en me montrant des exemples de ce qu'Instagram veut voir dans la photo avec le code pour franchir cette première étape de la vérification. » Elle ajoute que Palaez a répondu à chacun des courriels d’Instagram à sa place.

Dans deux cas, les hackers auraient rendu leur mot de passe aux victimes après plusieurs jours de silence. Interrogé à ce sujet, Palaez insinue qu’il a hacké les hackers. « Certains d’entre eux ont donné le mot de passe parce que j’ai attaqué leurs appareils » a-t-il écrit sans donner plus de précisions.

Instagram reconnaît ne pas toujours aider les utilisateurs. « Nous savons que nous pouvons faire plus », a admis le porte-parole. L'entreprise affirme toutefois avoir aidé les Flip Flop Wanderers et Lindsie Comerford à récupérer l’accès à leur compte. Elle ajoute ne pas avoir noté de hausse du nombre de vols de compte. Pelaez soutient cependant que de plus en plus d’utilisateurs se tournent vers lui : « Il y a une grande augmentation. Chaque jour, beaucoup d’utilisateurs se font hacker de différentes façons. »

Une des victimes interrogées par Motherboard n’a pas récupéré son compte. « J’ai été forcée de créer un nouveau compte avec un nom d’utilisateur différent et essayer de rebâtir » déplore Kendra Erike, la musicienne. « C’est extrêmement frustrant, mais je ne vois pas ce que je peux faire d’autre. »

Motherboard est aussi sur Facebook, Twitter et Flipboard.