Des influenceurs qui se font hacker leur compte Instagram doivent se tourner vers des hackeurs white hat
Image : Cathryn Virginia 
Instagram

Des influenceurs qui se font hacker leur compte Instagram doivent se tourner vers des hackeurs white hat

Des documents internes d’Instagram et les récits de victimes montrent qu’Instagram est aux prises avec un problème de piratage de comptes.
23.1.19

L’article original a été publié sur Motherboard.

Le hackeur ont usurpé à Lindsie Comerford tous ses comptes en ligne : compte courriel, compte bancaire et compte Instagram, auquel 41 000 personnes étaient abonnées.

Cette Californienne de 24 ans est une influenceuse très en vue qui utilise abondamment Instagram : elle crée son propre contenu, mais fait aussi de la publicité pour des compagnies.

« Après avoir passé deux ans à apprendre la photo, à parcourir le monde et à rencontrer des personnes parmi les plus incroyables sur Terre, ce n'est pas une chose que je vais abandonner ou laisser détruire par quelqu’un qui n'a aucun droit de faire ça », écrit-elle sur son site web.

Publicité

L’importance de ces comptes pour les influenceurs n’a pas échappé aux hackeurs. Le compte Instagram est la source de revenus principale de beaucoup d'entre eux. Une tendance émerge donc : les hackeurs s’emparent de leur compte Instagram et exigent une rançon. Une vague de nouvelles attaques de ce genre a été dernièrement observée, et des documents internes d’Instagram que nous avons consultés en témoignent. Les victimes disent que la démarche de la compagnie pour récupérer leur compte est si inefficace qu’elles ont dû demander à des experts des médias sociaux et, dans certains cas, à des hackeurs white hat.

On a parlé à quatre victimes de ce genre de piratage de compte. Les quatre ont affirmé qu’Instagram a soit mis beaucoup de temps à leur répondre ou n’a envoyé que des réponses automatisées, et qu’en fin de compte, elle ne les a pas aidées à reprendre possession de leur compte.

« Instagram n’a rien fait à part la procédure automatisée qui n’a pas aidé », ont écrit par courriel Manon van Os et Bram School, qui forment un duo appelé The Flip Flop Wanderers, comptant environ 57 000 abonnés sur Twitter. Ils ont été victimes de piratage la veille de Noël.

« J’ai passé les 72 premières heures à essayer de joindre le service d’aide et de soutien d’Instagram, mais ça ne m’a menée nulle part, dit pour sa part Lindsie Comerford. J’ai appelé un nombre incalculable de fois et j’ai envoyé probablement plus d’une centaine de courriels. »

Publicité

« Je n’ai jamais eu de réponse d’Instagram. Ils m’envoient juste leurs courriels automatisés », a écrit par courriel la musicienne Kendra Erike, qui compte 35 000 abonnés.

Instagram sait que des utilisateurs perdent accès à leur compte à cause d’un piratage. Un document interne de la compagnie qu’a obtenu VICE dicte la marche à suivre pour les employés qui doivent confirmer qu’une personne est bien la propriétaire du compte. L’une des raisons pour lesquelles les utilisateurs communiquent avec Instagram, c’est que le hackeur a changé les coordonnées dans le compte, est-il écrit.

Aux personnes dont le compte est piraté, le site web d'Instagram propose une procédure de récupération du compte. Elle est appelée « selfie + code » : la victime doit envoyer une photo de son visage en montrant un code qu’Instagram lui a au préalable envoyé, rédigé sur une feuille de papier (et ses deux mains doivent être visibles).

Instagram influencer

Image: Cathryn Virginia

Le document interne explique que cette procédure vise à permettre à un employé de comparer le selfie aux précédentes photos publiées par l’utilisateur pour voir s'il s'agit de la même personne.

On demande aux employés d’Instagram de comparer les « indicateurs de correspondance faciale principaux » entre le selfie avec code et les précédentes photos. Parmi ces indicateurs, il y a par exemple le nez de la personne, ainsi que d’autres traits du visage permettant de déterminer si le compte est bien celui de la personne qui a pris le selfie. (VICE ne donne pas la liste exhaustive des indicateurs pour ne pas aider les hackeurs à déjouer Instagram.)

Publicité

La compagnie est aux prises avec des personnes qui tentent de se servir du système de soutien technique pour prendre possession de comptes qui ne sont pas à elles, affirme-t-on aussi dans le document. Plusieurs pages montrent ce que les employés doivent faire s’ils reçoivent des selfies suspects, qui semblent avoir été retouchés ou manipulés.

Plusieurs des victimes ont suivi la procédure, mais sans succès. Manifestement, il y a quelque chose qui ne va pas avec le système de récupération de compte si des victimes de piratage qui font ce que la compagnie elle-même leur demande et n'arrivent à rien.

« Nous savons qu’il est pénible de perdre l’accès à son compte. Nous avons mis en place des mesures sophistiquées pour bloquer les personnes malveillantes avant qu’elles prennent possession des comptes, ainsi que des mesures pour aider les utilisateurs à récupérer leur compte », nous a répondu par courriel un porte-parole d’Instagram.

Dans la plupart des cas dont nous avons pris connaissance, les hackeurs se sont fait passer pour une marque voulant commanditer l’influenceur ciblé en le payant pour des publications ou en lui envoyant des produits en échange de publicité.

« Quel est le coût d’une publication publicitaire sur votre page? » avait-on par exemple demandé par courriel aux Flip Flop Wanderers.

Chaque courriel comprend un hyperlien d’hameçonnage qui semble diriger vers le compte Instagram de l’émetteur du courriel. Mais il dirige la victime vers une fausse page de connexion à Instagram servant à transmettre le mot de passe de l’utilisateur au hackeur. Ce dernier change aussitôt l’adresse courriel et le mot de passe du compte, empêchant ainsi l’utilisateur d'y accéder. Il exige ensuite de la victime une rançon d’un montant relativement bas, par exemple 300 $ en bitcoins. Parfois, même s’il reçoit la somme, le hackeur supprime quand même le compte.

Publicité

Instagram a si peu aidé des utilisateurs dépouillés de leur compte que ces derniers ont dû se tourner vers des experts des médias sociaux pour en récupérer l’accès. La plupart des victimes à qui VICE a parlé ont obtenu de l’aide de Juan Diego J Pelaez, un Colombien qui se dit spécialiste d’Instagram. Dans un échange avec VICE, il a aussi laissé entendre qu’il lui arrivait de hacker pour aider.

« Je connais différentes façons de récupérer un compte, a-t-il écrit par courriel. C’est un peu difficile, alors il faut un peu de temps. » Il a trouvé des moyens de se servir du système de récupération de compte d’Instagram de manière à ce que la compagnie soit plus susceptible d'intervenir pour redonner accès au compte volé. Plusieurs des victimes ont dit qu’elles ont été dirigées vers Pelaez soit par d’autres victimes, soit par des membres de communautés Instagram.

À au moins deux victimes, Palaez a dit qu’il avait besoin d’accéder à leur compte courriel pour récupérer leur compte Instagram.

« Évidemment, j’étais très sceptique et craintive, mais Juan a réussi à la fois à gagner ma confiance et à récupérer tous mes comptes, dit Lindsie Comerford. Il m’a accompagné dans la procédure du soutien technique d’Instagram en me montrant des exemples de ce qu'Instagram veut voir dans la photo avec le code pour franchir cette première étape de la vérification. » Elle ajoute que Palaez a répondu à chacun des courriels d’Instagram à sa place.

Dans deux cas, les victimes ont dit que les hackeurs ont envoyé le mot de passe de leur compte après plusieurs jours sans donner signe de vie. À ce sujet, Palaez a insinué qu’il avait hacké les hackeurs. « Certains d’entre eux ont donné le mot de passe parce que j’ai attaqué leurs appareils », a-t-il écrit, sans donner plus de précision.

Instagram reconnaît ne pas toujours aider les utilisateurs. « Nous savons que nous pouvons faire plus », a admis le porte-parole. La compagnie affirme toutefois avoir aidé les Flip Flop Wanderers et Lindsie Comerford à récupérer l’accès à leur compte. Elle ajoute ne pas avoir noté de hausse du nombre de vols de compte. Pelaez, cependant, dit que de plus en plus d’utilisateurs se tournent vers lui : « Il y a une grande augmentation. Chaque jour, beaucoup d’utilisateurs se font hacker de différentes façons. »

Pour plus d'articles comme celui-ci, inscrivez-vous à notre infolettre.

Une des victimes à qui nous avons parlé n’a pas récupéré son compte. « J’ai été forcée de créer un nouveau compte avec un nom d’utilisateur différent et d’essayer de rebâtir, a écrit Kendra Erike, la musicienne. C’est extrêmement frustrant, mais je ne vois pas ce que je peux faire d’autre. »