Piratage Instagram : 20 000 comptes compromis via l’IA de Meta

Meta a confirmé qu’environ 20 000 comptes Instagram ont été compromis après l’exploitation d’une faille liée à son propre chatbot d’assistance. Une affaire qui soulève de nouvelles questions sur la sécurité des comptes et la protection des données personnelles.

L’attaque reposait sur un procédé particulièrement simple. Des pirates ont utilisé le chatbot d’assistance de Meta pour associer un compte Instagram à une nouvelle adresse e-mail, sans validation préalable de l’ancienne adresse enregistrée.

Une fois cette modification effectuée, il devenait possible de réinitialiser le mot de passe via la nouvelle adresse. En l’absence d’authentification à deux facteurs (2FA), le compte pouvait alors être totalement pris en main. Cette méthode aurait permis de compromettre des comptes prestigieux, mais aussi de nombreux profils de particuliers.

Dans une communication officielle adressée au procureur général du Maine, Amber Hannah, conseillère juridique de Meta, a confirmé que 20 225 comptes seraient potentiellement concernés. Ce chiffre inclut toutefois certaines demandes de réinitialisation légitimes, ce qui pourrait réduire le nombre réel de comptes effectivement piratés.

La faille aurait été identifiée le 31 mai. À ce stade, Meta indique qu’il est impossible de déterminer avec certitude si des données personnelles (adresses, dates de naissance, messages privés) ont été consultées par des tiers. Le système de récupération de compte via le chatbot IA a depuis été désactivé.

Meta prévoit d’envoyer des notifications aux utilisateurs potentiellement concernés afin de les informer de l’incident. Les comptes identifiés recevront des recommandations de sécurité, notamment :

Même si 20 000 comptes représentent une proportion limitée au regard du nombre total d’utilisateurs Instagram, il est recommandé d’adopter immédiatement des mesures de précaution. Pour limiter les risques de piratage, il est conseillé de :