Des photos et des messages privés supprimés par les utilisateurs ont été conservés pendant plusieurs mois par Instagram. Le réseau social évoque un bug et a récompensé le chercheur en sécurité à l’origine de cette découverte.
La gestion des données personnelles n’est pas le point fort de Facebook, dont les scandales ont fini par écorner l’image. Sa filiale Instagram est relativement épargnée, même s’il lui arrive parfois d’être rattrapé par la patrouille. Le chercheur en sécurité Saugat Pokharel, utilisateur de la plateforme, a découvert que les photos et messages privés qu’il avait supprimés ont été conservés pendant plus d’un an sur les serveurs du réseau social. L’homme doit sa découverte à une fonctionnalité proposée par Instagram depuis 2018 pour se conformer au règlement européen de protection des données. Également disponible sur Facebook et d’autres services en ligne, elle permet de récupérer l’intégralité de ses données personnelles dont les photos, vidéos, messages privés et les recherches.
Des photos et messages privés conservés pendant plus d’un an après leur suppression
Comme le rappelle le site TechCrunch, il n’est pas rare de voir les plateformes stocker des données fraîchement effacées pendant un certain temps. Instagram indique par exemple qu’il faut environ 90 jours pour que les données disparaissent réellement de ses serveurs. Toutefois, Saugat Pokharel a noté la présence de données effacées il y a plus d’un an dans son archive. Des contenus qui n’auraient pas dû être récupérés par l’intermédiaire de l’outil d’Instagram. Le chercheur en sécurité a alerté le réseau social en octobre 2019 via son programme bug bounty comme l’explique un porte-parole de la firme. « Le chercheur a signalé un problème où les images et les messages d’Instagram supprimés par quelqu’un seraient inclus dans une copie de ses informations s’il utilisait notre outil « Télécharger les données » sur Instagram. Nous avons réglé le problème et n’avons trouvé aucune preuve d’abus », explique Instagram.
En plus d’être remercié, Saugat Pokharel a reçu une prime de 6000 dollars pour sa découverte. Instagram n’est pas la première plateforme à rencontrer un tel problème. L’année dernière, un chercheur en sécurité avait découvert que Twitter pouvait conserver pendant des années des messages privés sur ses serveurs après leur suppression. Contraire au droit à l’effacement, ces « bugs » rappellent qu’il faut rester vigilant et adopter de bonnes pratiques sur la toile.