Instagram, la plateforme de partage de photos vient d’annoncer qu’un incident de sécurité avait eu lieu et qu’il avait affecté un « très petit nombre d’utilisateurs ».
Lors du téléchargement des données relatives à votre compte, votre mot de passe figure en effet en clair dans l’URL. C’est une nouveauté imposé par la conformité au RGPD qui est donc à l’origine de cet anomalie.
La présence d’informations sensibles dans une URL pose problème, car elle sera conservée en mémoire au sein de l’historique de navigation, de la complétion d’URL, dans les journaux du serveur final, éventuellement dans ceux de serveurs mandataires internes, etc.
Une mauvaise pratique qui en fait craindre une autre : la présence du mot de passe dans l’URL peut indiquer qu’ils sont stockés en clair dans la base de données Instagram, bien que la compagnie affirme le contraire.
Si vous avez utilisé cette fonctionnalité, pensez à changer votre mot de passe.