Une vulnérabilité dans un outil de service client de Meta, exploitant un chatbot doté d'intelligence artificielle, a permis à des pirates de prendre le contrôle de comptes Instagram en demandant simplement une réinitialisation de mot de passe. Selon des documents internes consultés par plusieurs sources, environ 34 000 comptes ont été affectés par cette faille, découverte en mars. Parmi eux, 20 000 ont été effectivement compromis, permettant aux attaquants d'accéder à des informations personnelles telles que les adresses électroniques, les numéros de téléphone et les dates de naissance des titulaires. Plus de 3 500 comptes ont également vu leur nom d'utilisateur modifié à la suite de l'attaque.
Des cibles de premier plan touchées
Parmi les comptes concernés figurent ceux de l'entreprise de sécurité domestique SimpliSafe ainsi que celui d'un haut responsable de la Space Force américaine. Dans ce dernier cas, les pirates ont publié des messages pro-iraniens comparant le conflit en Iran à l'engagement américain au Vietnam. L'ancien compte Instagram de la Maison-Blanche sous Barack Obama, inactif depuis 2017, a également été détourné pour diffuser des messages insultants envers le président Donald Trump et affirmant que la Maison-Blanche était « sous contrôle chiite ». Un porte-parole de l'ancien président a refusé de commenter.
La réaction de Meta
Interrogée, Meta a indiqué avoir corrigé la faille et sécurisé les comptes affectés. « Certains de nos contrôles internes en back-end ont échoué dans ce cas, mais ce n'était pas dû à l'agent d'IA lui-même, et nous avons traité la cause sous-jacente », a déclaré Andy Stone, porte-parole de Meta. Il a ajouté que l'entreprise informait les autorités de régulation ainsi que les personnes dont les comptes avaient été touchés. La société précise toutefois qu'elle n'est pas en mesure de déterminer quelles informations ont été consultées ou dérobées par les assaillants.
Des conséquences pour la stratégie d'IA de Meta
Cet incident survient alors que Meta accélère son virage vers l'intelligence artificielle, sous l'impulsion de son directeur général Mark Zuckerberg, qui a fait de cette transition une priorité. L'entreprise intègre l'IA dans ses applications et investit massivement pour rivaliser avec des concurrents comme Anthropic et OpenAI. Cependant, cette stratégie a connu plusieurs déconvenues récentes. Un programme de suivi de l'activité informatique des employés destiné à l'entraînement de l'IA a provoqué un mécontentement, tandis que des licenciements massifs visant à compenser les dépenses liées à l'IA ont affecté le moral des équipes.
Un précédent inquiétant pour la sécurité
Cette affaire illustre les préoccupations croissantes concernant les risques de sécurité induits par les systèmes d'IA avancés. En avril, Anthropic avait refusé de rendre public son modèle le plus puissant, Mythos, craignant qu'il ne soit utilisé pour des exploitations de sécurité à grande échelle. Le détournement de comptes très suivis sur les réseaux sociaux, souvent revendus à des promoteurs de cryptomonnaies ou à des opérateurs politiques, constitue une activité lucrative. Les pirates utilisent ces accès pour diffuser des messages à des fins personnelles ou politiques, ou simplement pour semer le désordre.
Meta a récemment renforcé ses offres d'IA destinées aux entreprises. Lors d'un événement tenu début juin, elle a lancé un « agent commercial », un chatbot automatisé capable de gérer des tâches de service client comme la prise de rendez-vous ou le traitement de transactions, disponible sur Instagram, WhatsApp et Facebook Messenger. La faille corrigée pourrait néanmoins freiner la confiance des entreprises dans ces outils.
