Une vulnérabilité exploitée via l’assistant IA
Une campagne de piratage a visé des comptes Instagram ce week-end, en contournant les procédures de sécurité par le biais du chatbot d’assistance de Meta. Les attaquants ont réussi à ajouter une nouvelle adresse électronique à des comptes existants en manipulant l’agent conversationnel chargé du rétablissement d’accès, ouvrant ainsi la voie à un changement de mot de passe.
Selon des informations diffusées sur des chaînes Telegram, la technique consistait à utiliser un réseau privé virtuel (VPN) avec une adresse IP située dans la région habituelle de la cible, à demander une réinitialisation du mot de passe, puis à engager le dialogue avec l’assistant IA Meta. Le robot, conçu pour faciliter la récupération de comptes, obtempérait en liant le profil à un nouvel email, auquel il envoyait un code unique permettant de finaliser l’opération.
Des comptes emblématiques ciblés
Parmi les victimes figurent le profil Instagram de l’ancienne Maison Blanche (époque Obama), inactif depuis 2017, ainsi que celui du sergent-major de la Space Force américaine John Bentinvegna. Les deux comptes ont été brièvement défigurés avec des images et messages à teneur pro-iranienne. Plusieurs autres utilisateurs, dont la chercheuse en sécurité Jane Wong, ont également signalé des piratages. Sur les réseaux sociaux, des témoignages ont rapporté des changements de mot de passe non autorisés et des tentatives de réinitialisation répétées.
Un message publié dans les canaux Telegram revendique l’exploit et affirme que les pirates se seraient emparés de noms d’utilisateur courts, à la valeur de revente estimée à plus d’un demi-million de dollars.
Un correctif d’urgence et des interrogations
Meta n’a pas officiellement commenté les détails de l’attaque, mais l’entreprise a reconnu la compromission du compte de l’ancienne Maison Blanche et aurait déployé un correctif d’urgence durant le week-end, selon le blog spécialisé thecybersecguru.com. Ce dernier précise qu’aucune base de données interne n’a été violée. L’éditeur a été sollicité pour des précisions supplémentaires.
Une faille humaine dans l’IA
Ian Goldin, chercheur en menaces chez Black Lotus Labs, estime que ce type d’incident marque un tournant. « Les chatbots IA créent une nouvelle surface d’attaque intéressante, et nous allons probablement voir beaucoup plus d’attaques de ce genre. » Il compare la manipulation de l’assistant virtuel à l’ingénierie sociale traditionnelle exercée sur des employés du support client : les deux peuvent être trompés pour accorder un accès non autorisé.
Le rôle crucial de l’authentification multifacteur
Les pirates eux-mêmes ont indiqué que leur méthode échouait systématiquement contre les comptes protégés par une authentification multifacteur (MFA), même sous sa forme la plus simple, comme un code envoyé par SMS. Les experts recommandent donc d’activer cette option, de préférence via une clé de sécurité ou un dispositif biométrique, pour se prémunir contre ce type d’attaque.
Un précédent inquiétant
Cette affaire souligne les risques nouveaux posés par l’intégration d’agents conversationnels dans des processus sensibles. La facilité avec laquelle les hackers ont berné l’IA de Meta, simplement en simulant une demande légitime, interroge sur la robustesse de ces systèmes face à des attaquants déterminés. Le correctif a été appliqué, mais la vulnérabilité conceptuelle demeure un enjeu de sécurité pour les grandes plateformes.
