The Information a annoncé le 16 novembre 2018 qu’un bug de logiciel sur Instagram a accidentellement dévoilé des mots de passe d’utilisateurs. Le logiciel en question est l’outil de téléchargement de données que le réseau social a mis à disposition de ses utilisateurs en raison du règlement général sur la protection des données déployé par les législateurs européens.
En vertu de ce règlement, les usagers peuvent télécharger toutes les données que la plateforme détient sur eux.
C’est pour se conformer à cette règle que le service de partage de photos a mis en place un outil de téléchargement de données en avril 2018. Cependant, ce logiciel a subi un bug de sécurité, ce qui a exposé les mots de passe des utilisateurs qui ont utilisé cet outil.
Un porte-parole de l’entreprise a déclaré que le problème a été découvert en interne et n’avait touché que très peu d’utilisateurs.
La sécurité des données sur Instagram est remise en question
Un expert en sécurité a déclaré à The Information que ces mots de passe n’auraient pu être compromis que si Instagram les avait stockés en texte clair. Si tel était le cas, la firme serait confrontée à de graves problèmes de sécurité. Toutefois, l’entreprise a tenu à fournir une explication concernant le bug.
Instagram déclare que le mot de passe de certains utilisateurs ayant utilisé cette fonctionnalité figurait sur une URL de leur navigateur Web. Ces mots de passe avaient été stockés sur les serveurs de Facebook, la société mère d’Instagram. Toutefois, le porte-parole assure que la société sécurisait les mots de passe stockés par des techniques de hachage et de salage.
Le bug a été corrigé
Le porte-parole d’Instagram a déclaré à The Verge que « Si une personne soumettait ses informations de connexion pour utiliser l’outil « Download Your Data » d’Instagram, elle pouvait voir ses informations de connexion dans l’URL de la page. »
Il a également affirmé que personne n’a eu vent de cette information et que le réseau social a fait le nécessaire pour que ce problème ne se reproduise plus. À l’heure actuelle, le bug a été corrigé et les mots de passe ne sont plus en danger.
Néanmoins, la société conseille aux utilisateurs de changer leurs mots de passe par mesure de précaution.