Meta a officiellement reconnu l'ampleur de la faille exploitée contre son support automatisé dédié à Instagram. Dans une notification de violation de données adressée au procureur général du Maine, l'entreprise confirme qu'une vulnérabilité dans High Touch Support, son outil d'aide à la récupération de comptes assisté par intelligence artificielle, a permis à des tiers non autorisés de modifier des mots de passe. Selon cette notification, 20 225 comptes Instagram auraient potentiellement été compromis.

Une faille dans le parcours de récupération

Meta indique avoir découvert le problème le 31 mai 2026, bien que l'incident remonte au 17 avril. Cette chronologie suggère que la vulnérabilité a pu être exploitée pendant plusieurs semaines avant sa détection.

Le fonctionnement décrit par l'entreprise ne repose pas sur un piratage classique de mots de passe. High Touch Support pouvait envoyer un lien de réinitialisation lorsqu'un utilisateur n'avait plus accès à son profil. Cependant, un bug dans un chemin de code lié à cette procédure empêchait la bonne vérification de l'adresse électronique fournie. Le système pouvait donc transmettre le lien de réinitialisation à une adresse qui n'était pas associée au compte Instagram ciblé.

En pratique, un attaquant pouvait renseigner une adresse mail sous son contrôle, demander la récupération d'un compte qui ne lui appartenait pas, puis recevoir le lien destiné à changer le mot de passe. Si la double authentification n'avait pas été activée par l'utilisateur, l'assaillant pouvait s'emparer du profil.

Réponse de Meta et mesures de correction

Meta indique avoir sécurisé les comptes concernés afin d'empêcher tout nouvel accès non autorisé. L'entreprise a désactivé High Touch Support, invalidé les liens générés par l'outil et placé les profils potentiellement touchés derrière un contrôle de sécurité obligatoire. Les utilisateurs concernés doivent modifier leur mot de passe et se réauthentifier pour récupérer l'accès à leur profil.

Avant toute remise en service, Meta promet de corriger la vérification des adresses électroniques dans le parcours de récupération Instagram. L'entreprise prévoit également d'examiner les procédures similaires sur ses autres plateformes afin d'y repérer d'éventuelles failles du même type.

Un incident révélateur des risques liés à l'automatisation

Cette affaire met en lumière les vulnérabilités potentielles des systèmes d'assistance automatisée, en particulier lorsqu'ils traitent des procédures sensibles comme la récupération de comptes. L'outil High Touch Support, conçu pour aider les utilisateurs bloqués hors de leur profil, s'est révélé être un vecteur d'attaque efficace faute d'une vérification suffisante des identifiants de contact fournis.

Les experts en sécurité rappellent que les utilisateurs peuvent se protéger en activant la double authentification, qui constitue une barrière supplémentaire même si un attaquant parvient à obtenir un lien de réinitialisation.