Des pirates exploitent le chatbot d'assistance de Meta pour détourner des comptes Instagram prestigieux

Une manipulation ingénieuse du support automatisé

Des pirates ont mis au point une méthode inédite pour s'emparer de comptes Instagram bénéficiant d'une large audience. En exploitant le chatbot d'assistance de Meta, ils parviennent à contourner les mesures de sécurité et à prendre le contrôle des profils convoités. L'attaque repose sur une usurpation d'identité minutieusement préparée : les malfaiteurs se font passer pour le propriétaire légitime du compte auprès de l'assistant virtuel, en invoquant un prétendu problème d'accès.

La faille exploitée : la récupération de mot de passe

Le stratagème cible le mécanisme de réinitialisation du mot de passe. En simulant une perte d'accès, les assaillants demandent au chatbot l'envoi d'un lien de récupération vers une adresse électronique qu'ils contrôlent. Une fois le lien reçu, ils modifient le mot de passe et l'adresse email associée au compte, verrouillant ainsi le véritable propriétaire. Des témoignages d'utilisateurs concernés font état de la réception d'une notification les informant que leur adresse électronique avait été changée sans leur consentement, peu avant de perdre tout accès à leur profil.

Des comptes à forte audience dans le viseur

Les cibles privilégiées de cette campagne sont les comptes disposant d'un grand nombre d'abonnés, qu'il s'agisse de personnalités publiques, d'influenceurs ou de marques établies. La valeur de ces profils réside dans leur portée, qui peut être monétisée ou exploitée pour diffuser des contenus frauduleux. Les victimes rapportent des difficultés à récupérer leurs comptes auprès du service client de Meta, le processus de vérification d'identité étant jugé lent et complexe.

Des conséquences potentiellement graves

Au-delà de la perte de contrôle du compte, les propriétaires légitimes risquent de voir leur réputation compromise si les pirates publient des messages trompeurs ou nuisibles en leur nom. De plus, les accès détournés peuvent servir à usurper l'identité des abonnés, organiser des campagnes de phishing ou promouvoir des arnaques financières. La confiance des abonnés dans le compte piraté peut être durablement affectée.

Meta face à ses responsabilités

Interrogée sur cette vulnérabilité, Meta a indiqué enquêter sur les signalements d'usurpation liés à son chatbot. La société affirme renforcer ses systèmes de détection des comportements anormaux lors des demandes de récupération de mot de passe. Pour l'heure, aucune mise à jour de sécurité spécifique n'a été déployée pour corriger la faille. Des experts en sécurité recommandent aux utilisateurs d'activer l'authentification à deux facteurs (2FA) et de surveiller toute activité suspecte sur leur compte.

Précautions à prendre

En attendant un correctif officiel, les utilisateurs d'Instagram sont invités à ne pas partager leurs identifiants, à vérifier régulièrement les adresses email associées à leur compte et à signaler immédiatement toute tentative de récupération non sollicitée. La prudence est de mise face à toute communication émanant du support, qui pourrait être imitée par les assaillants.