Des pirates ont réussi à voler des comptes Instagram en demandant simplement à un chatbot
Tout se joue dans une conversation polie avec l’assistant IA du support de Meta, le robot conversationnel censé dépanner les utilisateurs quand ils ont un souci avec leur compte.
Le principe tient en quelques étapes. Le pirate se connecte d’abord via un VPN, un outil qui maquille sa localisation, pour faire croire qu’il se trouve dans la ville de sa victime et ne pas déclencher les protections automatiques d’Instagram.
Ensuite, il ouvre une discussion avec le Meta AI Support Assistant et lui demande tout bonnement d’ajouter une nouvelle adresse e-mail au compte ciblé.
Le robot envoie alors un code de vérification vers l’adresse fournie par le pirate. Celui-ci renvoie le code au chatbot, qui affiche aussitôt un bouton pour réinitialiser le mot de passe. Nouveau mot de passe, et le compte change de mains.
Le plus dingue, c’est qu’à aucun moment l’attaquant n’a eu besoin de toucher à la vraie boîte mail de la victime. Pas de phishing élaboré, pas de faux site à monter, pas de malware à glisser. Le support officiel faisait tout le travail à sa place.
Côté victimes, ça pique. Le compte de la Maison-Blanche de l’ère Obama, inactif depuis 2017, celui du sergent-chef de l’US Space Force John Bentivegna, ou encore celui de la chercheuse en sécurité Jane Wong, qui a raconté s’être fait voler le sien. S’ajoutent plusieurs comptes aux pseudos très courts, ceux qui se revendent cher au marché noir, dont la valeur cumulée dépasserait le demi-million de dollars.
L’attaque a été mise en scène dans une vidéo de démonstration, publiée fin mai sur Telegram par un groupe de pirates pro-iraniens, avec un mode d’emploi qui a tranquillement circulé sur plusieurs canaux.
Heureusement, il y a un garde-fou. L’exploit ne marche pas contre les comptes protégés par une authentification à deux facteurs, ce deuxième code demandé en plus du mot de passe, souvent reçu par SMS. Même la version la plus basique de cette protection suffisait à bloquer les pirates net.
Chez Meta, le porte-parole Andy Stone affirme que le problème est réglé et que les comptes touchés sont en train d’être sécurisés. Un correctif d’urgence a été déployé , et l’entreprise précise qu’aucune base de données interne n’a été piratée. Le trou était dans le chatbot, pas dans les serveurs.
Reste le fond du problème. Pour Ian Goldin, chercheur en cybersécurité chez Black Lotus Labs, ces assistants IA ouvrent une toute nouvelle surface d’attaque, et on va sûrement en voir beaucoup d’autres du même genre dans les mois qui viennent.
Bref, un chatbot conçu pour rendre service qui finit par surtout servir les pirates, c’est le genre de bug qu’on n’avait pas avec un bon vieux formulaire.
Source :
ARS Technica
Leave a Comment