Faille Meta AI : des comptes Instagram toujours piratés malgré le correctif annoncé

La vulnérabilité de Meta AI, qui a permis le détournement de centaines de comptes Instagram, n'aurait pas été définitivement corrigée. Alors que le groupe de Menlo Park avait annoncé avoir déployé un correctif, de nouvelles intrusions ont été signalées, notamment sur le compte de la chercheuse en cybersécurité Jane Manchun Wong.

Dans une publication sur le réseau social X, cette experte a indiqué que l'un de ses comptes secondaires, pourtant protégé par une authentification à deux facteurs, avait été piraté plusieurs jours après la communication officielle de Meta. Selon son témoignage, le mot de passe et le nom d'utilisateur à quatre lettres de ce compte ont été modifiés à son insu. La publication a suscité de nombreuses réactions d'internautes affirmant avoir vécu des situations similaires.

Face à ces nouveaux signalements, le vice-président de la communication de Meta, Andy Stone, a réagi sur le même réseau social. Il a assuré que les comptes concernés étaient désormais sécurisés, tout en précisant que le travail de rétablissement de l'accès pour les propriétaires légitimes était en cours. « Certaines personnes pourraient recevoir une notification de réinitialisation de mot de passe et d'autres pourraient devoir répondre à des questions de sécurité lorsqu'elles tenteront de se connecter à leur compte », a-t-il expliqué.

Un correctif jugé superficiel

La persistance de ces piratages interroge sur la nature exacte du correctif apporté par Meta. D'après des informations recueillies par plusieurs observateurs techniques, l'entreprise n'aurait pas résolu la faille dans son code, mais se serait contentée de supprimer le bouton « Obtenir de l'aide » de l'interface du chatbot Meta AI. Cette modification empêche un utilisateur lambda de solliciter directement l'assistant pour modifier les identifiants de connexion d'un compte ciblé.

Toutefois, cette mesure n'empêcherait pas l'exploitation de la vulnérabilité via une API — une interface de programmation permettant à des applications de communiquer entre elles. En contournant l'interface graphique, des pirates pourraient encore envoyer des requêtes directes au système et obtenir les codes de vérification nécessaires au détournement. La faille initiale résidait dans le fait que Meta AI envoyait le code de vérification non pas au propriétaire du compte, mais directement à la personne qui en faisait la demande par l'intermédiaire du chatbot.

Des célébrités également visées

Lors de la première vague d'attaques, des centaines de comptes avaient été compromis, y compris ceux de personnalités publiques. La méthode était simple : il suffisait de contacter Meta AI et de demander l'association d'une nouvelle adresse e-mail au compte ciblé. Le chatbot délivrait alors le code de vérification au requérant, qui pouvait ensuite réinitialiser le mot de passe et prendre le contrôle total du profil.

Pour l'instant, Meta n'a pas communiqué sur une éventuelle correction plus profonde de l'API concernée. Les utilisateurs d'Instagram sont invités à surveiller les notifications de changement de mot de passe et à activer l'authentification à deux facteurs, même si cette mesure n'a pas protégé certains comptes lors de ces attaques.