Dans le premier cas, il s'agit d'une situation, où les utilisateurs sont déconnectés et ne peuvent plus se reconnecter avec leur ancien mot de passe. S'ils veulent réinitialiser leur mot de passer par e-mail, ils observent en outre que cette adresse est aussitôt adaptée.

Ce problème se manifeste depuis un petit temps déjà, notamment aux Etats-Unis, mais selon VTM NIEUWS, il y aurait entre-temps aussi des victimes belges. Difficulté supplémentaire: le helpdesk d'Instagram ne réagit pas toujours rapidement. Les victimes doivent prendre une photo d'elles-mêmes avec un code chiffré unique, mais cela ne signifie pour autant pas qu'Instagram libère immédiatement le compte en question.

On ne sait pas clairement ce que les pirates font précisément avec les comptes. Ce qui permet d'éviter ledit problème, c'est l'utilisation d'un mot de passe difficile à deviner, et idéalement pas un mot de passe déjà utilisé pour d'autres services. Car si un mot de passe est dévoilé, le risque est grand en effet que les pirates le testent pour d'autres services, tels Instagram.

SMS de confirmation

Venons-en à présent à l'autre problème Instagram. Ici, il ne s'agit pas réellement d'un piratage du point de vue technique, mais de la falsification d'un compte en vue de tromper les amis.

Ici, le pirate imite donc un compte. Dans le cas observé par Data News, un compte avec la même photo de profil que celle de la victime apparaissait. On constata après coup qu'il y avait une seule lettre de différence dans son nom.

© PVL

Dès qu'un utilisateur suit le compte, l'escroc lui demande, dans le cadre d'une communication privée, son numéro de téléphone, suivi d'un message évoquant une participation à un concours de SMS pour lequel il s'agit de transférer un code.

C'est précisément ce code qui pose problème. Il ne s'agit en fait pas du tout d'un concours de SMS, mais d'une confirmation de paiement de 'Boku Pay By Mobile', un service américain de paiements qui facture via un opérateur. Les escrocs tentent de créer un compte ou de passer une commande avec le numéro de téléphone reçu. Boku envoie ensuite un SMS de contrôle par code vers le numéro de l'utilisateur. En transférant ce code au compte Instagram factice, l'utilisateur confirme donc sans le vouloir l'authenticité du compte et paie donc la commande passée par les escrocs.

Le problème avec ce type d'escroquerie, c'est qu'on ne peut pas faire grand-chose préventivement. Il est facile de créer un compte qui ressemble à un autre en utilisant la même photo de profil. Il est donc essentiel que dans ce genre de situation, l'utilisateur ne transfère jamais le code de confirmation aux escrocs.