Des pirates détournent le chatbot d’assistance de Meta pour pirater des comptes Instagram prestigieux

Meta a reconnu lundi une intrusion de grande ampleur visant des comptes Instagram très suivis, après que des groupes de pirates eurent utilisé son chatbot d’assistance à intelligence artificielle pour en prendre le contrôle. Les cibles identifiées incluent le compte officiel de la Maison-Blanche de l’ancien président Barack Obama, celui de l’enseigne de cosmétiques Sephora et le profil du Space Force Chief Master Sergeant, le plus haut gradé de la force spatiale américaine.

L’éditeur de Facebook et Instagram a indiqué avoir résolu le problème après que des chercheurs en sécurité eurent mis au jour la méthode employée. Celle-ci consiste à manipuler l’agent conversationnel censé fournir un support technique aux utilisateurs. Des vidéos et des captures d’écran diffusées sur des canaux Telegram par des hackers et des chercheurs montrent la procédure en détail.

Le mode opératoire exploite la capacité du chatbot à effectuer des opérations sensibles. Sur une vidéo relayée sur X, un pirate demande à l’assistant IA de lier le compte visé à une nouvelle adresse électronique. Le bot répond alors qu’un code de vérification a été envoyé à cette adresse, et invite le pirate à saisir les chiffres directement dans l’interface de discussion. Une fois le code correct entré, un bouton permettant de réinitialiser le mot de passe du compte ciblé apparaît, donnant ainsi un accès total au pirate.

Cette vulnérabilité a également touché des utilisateurs ordinaires, qui ont exprimé leur mécontentement sur Reddit et X pendant le week-end, affirmant avoir subi des détournements similaires. Meta a précisé que la faille était désormais colmatée, sans fournir davantage de détails sur les mesures techniques prises.

L’affaire soulève des interrogations sur la sécurisation des processus d’assistance automatisés. Confier à une IA la gestion de demandes impliquant la modification d’identifiants ou la récupération de mots de passe peut exposer les plateformes à des abus. Les experts appellent à revoir les garde-fous entourant ces chatbots, afin d’éviter que de simples requêtes formulées en langage naturel ne permettent de contourner les protocoles d’authentification.

Meta n’a pas communiqué le nombre exact de comptes compromis, mais la liste des victimes de haut profil suggère que les attaquants ont ciblé des comptes à forte notoriété. La société a assuré que les investigations se poursuivaient et que les comptes concernés avaient été sécurisés.