Un bug touchait l’application Instagram : les photos supprimées par les utilisateurs étaient conservées sur les serveurs de l’entreprise bien au-delà de la période normale. Découvert en octobre dernier, le bug n’a été corrigé qu’au début du mois d’août. Instagram a payé 6000 dollars la personne qui l’a découvert.

Vous êtes certainement comme nous : quand nous supprimons un contenu, nous aimons bien que ce soit effectivement le cas. C’est encore plus vrai dans le cas des réseaux sociaux. Que ce soit des messages, des vidéos ou des photos, quand un contenu devient un peu trop embarrassant, être sûr qu’il ait été supprimé devient une nécessité. Imaginez donc que vous aillez effacé des photos de votre compte Instagram et que vous découvriez, par hasard qu’elles ne l’ont pas été. Et ce pendant très longtemps.

Lire aussi – Twitter modifie enfin son interface pour accéder plus facilement aux messages privés

C’est ce qui est arrivé à Saugat Pokharel, chercheur indépendant en sécurité informatique. Ce dernier a utilisé l’outil proposé par Instagram qui permet de télécharger une archive de tous les contenus de son compte. Et quelle ne fut pas sa surprise quand il a constaté que certaines photos, pourtant supprimées plus d’un an auparavant, ne l’étaient finalement pas ! Les clichés continuaient d’être stockés sur les serveurs de l’application sans que personne ne le sache.

Un bug datant de 2018 et corrigé qu'en 2020

Le bug ne concernait pas uniquement les photos, mais également les messages privés échangés sur le réseau social. Le chercheur a évidemment contacté Instagram pour informer le service du bug. Nous sommes alors en octobre 2019. Et ce n’est qu’au début du mois d’août 2020 que cette faille a été corrigée, information rapportée par TechCrunch qui a eu l’occasion de s’entretenir avec Saugat Pokharel.

À l’issue de cet entretien, nos confrères ont contacté Instagram qui a confirmé l’existence du bug (et sa suppression). Cette faille date de la mise en place du service de téléchargement des archives qu’Instagram a dû mettre en place après la mise en application en 2018 de la RGPD, la loi européenne sur les données personnelles. Le réseau social ajoute qu’aucun abus n’a été enregistré sur le service. Cela veut dire qu’aucune archive avec des photos supprimées n’a été téléchargée par une personne autre que le titulaire.

Pour avoir découvert cette faille, le chercheur a été payé 6000 dollars dans le cadre du programme de chasse au bug mis en place par Instagram. Notez que Twitter a été victime d’une erreur similaire qui permettait aux utilisateurs de télécharger des archives contenant des messages supprimés de longue date, même ceux provenant de comptes qui avaient depuis été effacés.

Sur le même sujet – Facebook : les photos privées de 6,8 millions d’utilisateurs n’étaient en fait pas si privées que cela

Source : TechCrunch