Instagram appartient à Facebook, ce qui laisse à penser que le réseau social d’images est plutôt bien sécurisé, et pourtant. Le chercheur belge en sécurité Arne Swinnen a mis en évidence deux failles permettant de deviner le mot de passe de n’importe quel utilisateur relativement facilement. La première faille découverte en décembre 2015 concerne l’envoi de requêtes d’identification sans limite avec une information sur l’existence ou non de ce mot de passe pour les 1000 premières requêtes. Une fois le mot de passe récupéré, nul besoin de changer d’IP pour se loguer.
Le chercheur a mis le doigt sur une seconde faille en février 2016, qui concerne cette fois le site web www.instagram.com. L’envoi de requêtes de création de compte permettait d’avoir une réponse côté serveur qui indiquait si le mot de passe était bon ou non. Après récupération du mot de passe, n’importe qui pouvait se loguer sans aucun contrôle supplémentaire. Depuis, Facebook a corrigé ces deux failles et à augmenté la sécurité sur Instagram. Le chercheur a quant à lui reçu 5 000 dollars de récompense.
